actúa a través de un correo con el asunto 'Acción fiscal' para robar datos personales a los usuarios. En el cuerpo del mensaje se solicita el acceso a Sede Electrónica o la descarga de un PDF para acceder a una presunta información fiscal relacionada con el usuario. Incibe señala que el nombre del archivo malicioso es aleatorio pero que siempre sigue el patrón de '9 números aleatorios + .zip', y que en la redacción del mensaje del correo se aprecian deficiencias gramaticales.