משלמי המיסים במקסיקו ובצ'ילה היו למוקד מתקפות קבוצת פשעי סייבר ממקסיקו בשם Fenix, אשר שמה לה למטרה לפרוץ לרשתות מחשוב ולגנוב נתונים יקרי ערך. סימן היכר מרכזי של Fenix כרוך בשיבוט פורטלים רשמיים של Servicio de Administración Tributaria (SAT) במקסיקו ושל Servicio de Impuestos Internos (SII) בצ'ילה והפניית קורבנות פוטנציאליים לאתרים אלו. "אתרים מזויפים אלו מניעים את המשתמשים להוריד ולהתקין כלי אבטחה כביכול, בטענה שהוא ישפר את בטיחות הניווט שלהם בפורטל", אמרו חוקרי האבטחה של Metabase Q – ג'ררדו קורונה וג'וליו וידאל, בניתוח שנערך לאחרונה. לדבריהם: "עם זאת, ללא ידיעת הקורבנות, הורדה זו למעשה מתקינה את השלב הראשוני של נוזקות ובסופו של דבר מאפשרת גניבה של מידע רגיש".
המטרה של Fenix היא לפעול כמתווך גישה ראשוני ולקבל דריסת רגל בחברות שונות באזור ולמכור את הגישה לשותפים הקשורים למתקפות כופרה לצורך מונטיזציה נוספת. השיטה הינה: מבקרים הנוחתים באתרי האינטרנט המתחזים מתבקשים להוריד תוכנה שכביכול שומרת על הנתונים שלהם בזמן הגלישה בפורטל. לחלופין, נלכדים משתמשים באמצעות אתרי דיוג שהוגדרו להוריד אפליקציות לגיטימיות כמו AnyDesk. קבוצת Fenix תוקפת אתרים חלשים באמצעות מנועי וורדפרס פגיעים וגם יוצרת דומיינים חדשים להשקת מתקפות דיוג, אמרו החוקרים והוסיפו כי הקבוצה "יוצרת דומיינים עם שגיאות הקלדה של אפליקציות מוכרות כמו AnyDesk, WhatsApp וכדומה. קובץ ה- ZIP המכיל את התוכנה לכאורה משמש כקרש קפיצה להפעלת רצף הדבקה המוביל לביצוע של סקריפט PowerShell מעורפל, אשר בתורו טוען ומריץ קובץ בינארי של .NET, ולאחר מכן ההודעה "Ahora se encuentra protegido" (שפירושו "עכשיו אתה מוגן" בספרדית) מוצג כדי לחזק את אמינות ההונאה. קובץ ההפעלה של .NET סולל לאחר מכן את הדרך לביסוס נוכחות במארח שנפרץ ופריסה של נוזקת בוטנט המסוגלת להריץ פקודות המתקבלות משרת מרוחק, לטעון מודול גניבת מידע המחלץ אישורים המאוחסנים בדפדפני אינטרנט ובארנקי קריפטו ובסופו של דבר, למחוק את עצמו.
"אנו רואים קבוצות פשיעת סייבר חדשות הקמות באמריקה הלטינית כדי לספק גישה ראשונית לכנופיות כופרה", סיכמו החוקרים והוסיפו: "השחקנים המקומיים הללו אינם חובבנים ויגדילו את המומחיות הטכנית שלהם ולכן יהיה קשה יותר לעקוב אחרים, לאתר ולמגר אותם. חשוב לצפות את מעשיהם".
