Gli attacchi sono aumentati a luglio 2025 dopo che il gruppo criminale ha aggiornato la propria procedura combinando file LNK dannosi e una tecnica WebDAV riutilizzata
Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato.
