في أوائل مايو 2025، رصد فريق IBM X-Force قيام الجهة Hive0131 بتنفيذ حملات بريد إلكتروني استهدفت مستخدمين في كولومبيا، تضمنت إشعارات إلكترونية بإجراءات جنائية زُعم بأنها صادرة عن السلطة القضائية في كولومبيا. تُعد Hive0131 مجموعة ذات دوافع مالية يُرجَّح أنها تنحدر من أمريكا الجنوبية، وتنفِّذ بشكل منتظم حملات في أمريكا اللاتينية (LATAM) لتوصيل مجموعة واسعة من الحمولات البرمجية الشائعة. تقلِّد الحملات الحالية المراسلات الرسمية وتحتوي على رابط مضمَّن أو ملف PDF جذاب يحتوي على رابط مضمَّن. يؤدي النقر على الرابط المضمَّن إلى بدء سلسلة الإصابة لتنفيذ حصان طروادة المصرفي DCRat في الذاكرة.

يتم تشغيل DCRat وفق نموذج البرمجيات الضارة كخدمة (MaaS)، وقد ظهر لأول مرة على الأقل منذ عام 2018، مع ترويجه على نطاق واسع في منتديات الجرائم الإلكترونية الروسية، حيث يمكن شراؤه بحوالي 7 دولارات أمريكية لاشتراك لمدة شهرين. ينتشر وجود DCRat على نطاق واسع وقد أصبح شائعًا بشكل متزايد في أمريكا اللاتينية والكاريبي منذ عام 2024 على الأقل. خلال صيف 2024، لاحظت X-Force عدة حملات تستهدف كيانات في كولومبيا، جميعها تقلِّد شركة لاتينية متخصصة في النظم البنائية الإلكترونية في المكسيك وكولومبيا. ومع ذلك، وبالنظر إلى الاختلافات في سلسلة الإصابة وآلية توصيل DCRat، تقيِّم X-Force أن حملات عام 2024 والحملات الحالية تم تنفيذها من قِبل جهات فاعلة مختلفة. اعتمدت الحملات التي تم رصدها في عام 2024 بشكل كبير على ملفات RAR محمية بكلمات مرور تحتوي على NSIS لتنفيذ أداة التنزيل GuLoader، في حين تعتمد هذه الحملات الأخيرة على مُحمِّل ‎.NET مُموَّه أطلقنا عليه اسم VMDetectLoader.