A principios de mayo de 2025, IBM X-Force observó que Hive0131 llevaba a cabo campañas de correo electrónico dirigidas a usuarios de Colombia con notificaciones electrónicas de procedimientos penales, que pretendían provenir del Poder Judicial de Colombia. Hive0131 es un grupo motivado financieramente, probablemente originario de América del Sur, que realiza campañas de forma rutinaria en gran medida en América Latina (LATAM) para ofrecer una amplia gama de cargas útiles de productos básicos. Las campañas actuales imitan la correspondencia oficial y contienen un enlace incrustado o un señuelo PDF con un enlace incrustado. Al hacer clic en el enlace incrustado, se iniciará la cadena de infección para ejecutar el troyano bancario "DCRat" en la memoria.

DCRat funciona como malware como servicio (MaaS), apareció por primera vez al menos en 2018 y se anuncia mucho en los foros rusos de delitos cibernéticos, que se pueden comprar por alrededor de 7 USD por una suscripción de dos meses. La presencia de DCRat es generalizada y se ha vuelto cada vez más popular en LATAM desde al menos 2024. Durante el verano de 2024, X-Force observó varias campañas dirigidas principalmente a entidades en Colombia, todas imitando a una compañía LATAM especializada en ecosistemas de documentos electrónicos en México y Colombia. Sin embargo, dadas las diferencias en la cadena de infección y la entrega de DCRat, X-Force evalúa que las campañas de 2024 y actuales fueron realizadas por diferentes actores. Las campañas observadas en 2024 dependían en gran medida de archivos RAR protegidos por contraseña que contenían NSIS para ejecutar un descargador de GuLoader, mientras que estas campañas recientes dependen de un cargador .NET ofuscado al que llamamos VMDetectLoader.