Desde marzo de 2024, X-Force ha observado campañas de phishing que se hacen pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la ciudad de México y el Servicio de Impuestos de Argentina. Los correos electrónicos se dirigen a usuarios dentro de América Latina, incluyendo dominios de nivel superior (TLD) de México, Colombia y Chile“.mx“,“.co“ y“.cl”. Se han ocultado todas las identidades reales de las imágenes para proteger la privacidad personal.

La primera campaña parece ser un intento de ser percibida como oficial y urgente e informa al objetivo que está recibiendo un aviso final sobre un débito al Registro Federal de Contribuyentes (RFC) que no se ha pagado. Si no se paga, las consecuencias pueden incluir sanciones, multas y un bloqueo en el número de identificación fiscal del usuario, lo que afecta la capacidad del objetivo para realizar negocios y acceder a servicios de gobierno legalmente. Una campaña adicional se hace pasar por la Comisión Federal de Electricidad (CFE) de México y recuerda al destinatario que se suscribió a CFEMail y, por lo tanto, puede acceder a su estado de cuenta en formato PDF y XML haciendo clic en uno de los enlaces incrustados. Una tercera campaña que imita al Secretario de Administración y Finanzas, dirige al destinatario a hacer clic en un PDF para leer los detalles sobre un aviso de cumplimiento. Una campaña que imita al Servicio de Impuestos de Argentina indica al usuario que descargue un nuevo documento fiscal y tome las medidas correspondientes.

En cada campaña, se indica a los destinatarios que hagan clic en un enlace para ver una factura o comisión, extracto de cuenta, realizar un pago, etc., dependiendo de la entidad suplantada. Si el usuario que hace clic en los enlaces se encuentra dentro de un país específico (dependiendo de la campaña, México, Chile, España, Costa Rica, Perú o Argentina), se le redirige a una imagen de un ícono PDF y se le envía un archivo ZIP descargado en segundo plano. Los archivos ZIP contienen un ejecutable grande disfrazado con un ícono de PDF, que se descubrió que se creó el día anterior o el día en que se envió el correo electrónico.