O grupo de ameaças cibernéticas conhecido como Water Curupira foi observado distribuindo ativamente o malware PikaBot como parte de uma campanha de spam.

De acordo com um relatório publicado pela Trend Micro, os operadores do PikaBot realizaram campanhas de phishing, visando vítimas por meio de dois componentes, um carregador e um módulo principal que permitiam acesso remoto não autorizado e a execução de comandos arbitrários através de uma conexão estabelecida com seu servidor de comando e controle (C&C).

A atividade começou no primeiro trimestre de 2023 e durou até o final de junho, antes de aumentar novamente em setembro. Ela também se sobrepõe a campanhas anteriores que usaram táticas semelhantes para entregar o QakBot, especificamente aquelas orquestradas por grupos de cibercrime conhecidos como TA571 e TA577.

Acredita-se que o aumento no número de campanhas de phishing relacionadas ao PikaBot seja resultado da desativação do QakBot em agosto, com o DarkGate emergindo como outro substituto.

O PikaBot é principalmente um carregador, o que significa que ele é projetado para lançar outro payload, incluindo o Cobalt Strike, um kit de ferramentas legítimo de pós-exploração que normalmente atua como precursor para a implantação de ransomware.