En julio de 2024, X-Force observó un cambio a mitad de campaña en los correos electrónicos distribuidos por Hive0145, donde los mensajes cortos y genéricos fueron reemplazados por lo que parecían ser correos electrónicos legítimos robados. Los correos electrónicos de phishing coincidían exactamente con los correos electrónicos oficiales de comunicación de facturas y, en algunos casos, aún se dirigían directamente a los destinatarios originales por su nombre. X-Force pudo verificar que los correos electrónicos eran en realidad notificaciones auténticas de facturas de diversas entidades de las industrias financiera, tecnológica, manufacturera, de medios, de comercio electrónico y otras. Es probable que el grupo obtuviera los correos electrónicos a través de credenciales previamente exfiltradas de sus campañas anteriores.

El concepto de utilizar correos electrónicos robados no es nuevo, ya que fue ampliamente utilizado por el grupo Emotet y distribuidores de malware como Hive0118 (también conocido como TA577), TA551 y TA570. En sus campañas, aprovecharon el secuestro de hilos, donde se utilizaron nuevos hilos para correos electrónicos robados como una forma de aumentar la apariencia de legitimidad. Los correos electrónicos modificados se enviaron a los contactos correspondientes de víctimas anteriores, haciendo que el correo electrónico final pareciera una respuesta al correo electrónico robado, secuestrando así el hilo del correo electrónico. El texto que los distribuidores agregan a los correos electrónicos suele ser respuestas breves, instando a las víctimas a revisar los archivos adjuntos o URL incluidos.

La técnica empleada por Hive0145 difiere del secuestro de hilos en que, en lugar de agregar un mensaje de respuesta al correo electrónico robado, el contenido original permanece en gran medida sin modificar y solo el archivo adjunto se cambia para incluir una carga maliciosa utilizando el nombre de archivo original (sin la extensión original). Dentro del cuerpo del correo electrónico, Hive0145 también reemplaza tanto la parte local como el dominio del remitente del correo electrónico original con la de la nueva víctima de phishing para personalizar el correo electrónico. Luego, los correos electrónicos con archivos adjuntos secuestrados se envían en campañas masivas de phishing. Hive0145 también parece considerar cuidadosamente los correos electrónicos secuestrados seleccionando solo los que se refieren a facturas y contienen archivos adjuntos. X-Force ha observado la técnica de secuestro de archivos adjuntos desde mediados de 2024 en campañas dirigidas a hablantes de alemán, español y ucraniano.