Organizações mexicanas continuam sendo alvos de campanhas de cibercrime que utilizam versões modificadas do trojan de acesso remoto AllaKore RAT e do SystemBC. A campanha, atribuída ao grupo “Greedy Sponge”, está ativa desde 2021 com motivações financeiras e mira diversos setores como varejo, agricultura, setor público, entretenimento, transporte, manufatura e bancos.
A versão modificada do AllaKore permite roubo de credenciais bancárias e autenticações únicas, com envio dessas informações ao servidor de comando e controle (C2). A campanha utiliza phishing e downloads maliciosos para disseminar arquivos ZIP (como “Actualiza_Policy_v01.zip”) que contêm um executável legítimo do Chrome e um instalador MSI adulterado. Esse instalador aciona um downloader .NET para buscar o malware e executar scripts PowerShell de limpeza. Desde 2024, o grupo passou a aplicar geofencing diretamente no servidor, limitando o acesso à carga maliciosa apenas a alvos mexicanos.
O AllaKore RAT possui funções de keylogging, captura de tela, controle remoto e exfiltração de arquivos. Em paralelo, campanhas de 2025 também têm utilizado o novo serviço Ghost Crypt para distribuir o PureRAT, ocultando o malware em arquivos ZIP enviados via engenharia social e induzindo as vítimas a executá-los. O DLL malicioso é injetado no processo do Windows (csc.exe) usando a técnica “hypnosis injection”, dificultando a detecção por antivírus.
