Eine Bedrohungsakteur namens Water Curupira verbreitet aktiv die PikaBot Loader-Malware als Teil von Spam-Kampagnen im Jahr 2023. Die Betreiber von PikaBot führten Phishing-Kampagnen durch, bei denen sie Opfer über ihre beiden Komponenten, einen Loader und ein Kernmodul, anvisierten. Diese ermöglichten unbefugten Remote-Zugriff und die Ausführung beliebiger Befehle über eine etablierte Verbindung mit ihrem Befehls- und Kontrollserver (C&C). Die Aktivität begann im ersten Quartal 2023 und dauerte bis Ende Juni an, bevor sie im September wieder zunahm. Sie überlappt sich auch mit früheren Kampagnen, die ähnliche Taktiken zur Verbreitung von QakBot verwendet haben, insbesondere solchen, die von Cyberkriminalitätsgruppen namens TA571 und TA577 orchestriert wurden. Es wird vermutet, dass die Zunahme der Anzahl von Phishing-Kampagnen im Zusammenhang mit PikaBot das Ergebnis der Abschaltung von QakBot im August ist, wobei DarkGate als Ersatz auftaucht. PikaBot ist hauptsächlich ein Loader und soll einen anderen Payload starten, einschließlich Cobalt Strike, einem legitimen Toolkit für Post-Exploitation, das normalerweise als Vorbote für die Bereitstellung von Ransomware fungiert. Die Angriffsketten nutzen eine Technik namens E-Mail-Thread-Hijacking, bei der vorhandene E-Mail-Threads verwendet werden, um Empfänger dazu zu bringen, bösartige Links oder Anhänge zu öffnen und damit die Ausführungssequenz der Malware zu aktivieren. Die ZIP-Anhänge, die entweder JavaScript- oder IMG-Dateien enthalten, dienen als Startpunkt für PikaBot. Die Malware überprüft die Systemsprache und stoppt die Ausführung, wenn sie entweder Russisch oder Ukrainisch ist. Im nächsten Schritt sammelt sie Details über das System des Opfers und leitet sie im JSON-Format an einen C&C-Server weiter. Waters Curupiras Kampagnen dienen dazu, Cobalt Strike abzusetzen, was dann zur Bereitstellung der Black Basta Ransomware führt. „Der Bedrohungsakteur hat auch mehrere DarkGate Spam-Kampagnen und eine geringe Anzahl von IcedID-Kampagnen in den ersten Wochen des dritten Quartals 2023 durchgeführt, ist aber seitdem ausschließlich auf PikaBot umgestiegen“, so Trend Micro.