گروه باج‌افزار Play از آسیب‌پذیری شدید Windows Common Log File System با شناسه CVE-2025-29824 در حملات zero-day برای کسب دسترسی SYSTEM و نصب بدافزار استفاده کرده است. این آسیب‌پذیری که مایکروسفت آن را در تعداد محدودی حمله مورد سوءاستفاده قرار گرفته اعلام کرد، ماه گذشته در Patch Tuesday رفع شد. اهداف شامل سازمان‌های فناوری اطلاعات و املاک آمریکا، بخش مالی ونزوئلا، شرکت نرم‌افزاری اسپانیایی و بخش خرده‌فروشی عربستان سعودی بوده‌اند.

مایکروسفت ابتدا این حملات را به گروه RansomEXX نسبت داد، اما سیمانتک شواهدی یافت که آن‌ها را به عملیات Play ransomware-as-a-service مرتبط می‌کند. مهاجمان از ابزار سفارشی Grixba برای جمع‌آوری اطلاعات و بدافزار PipeMagic استفاده کردند. گروه Play که از ژوئن 2022 فعال است، تا اکتبر 2023 شبکه حدود 300 سازمان در سراسر جهان را نفوذ کرده و از تاکتیک double-extortion استفاده می‌کند. قربانیان قابل توجه آن‌ها شامل Rackspace، Arnold Clark، شهر اوکلند، Microchip Technology و Krispy Kreme می‌باشند.