گروه هکری چینی APT41 از بدافزار جدیدی به نام ‘ToughProgress’ استفاده می‌کند که از Google Calendar برای عملیات فرماندهی و کنترل (C2) سوءاستفاده کرده و فعالیت‌های مخرب را پشت یک سرویس ابری معتبر پنهان می‌کند. این کمپین توسط گروه اطلاعات تهدید گوگل کشف شد که زیرساخت‌های Google Calendar و Workspace تحت کنترل مهاجمان را شناسایی و منهدم کرد.

حمله با ایمیل مخربی شروع می‌شود که حاوی لینکی به آرشیو ZIP در وب‌سایت دولتی هک‌شده است. این آرشیو شامل فایل LNK ویندوز، بارگذار اصلی مبدل‌شده به تصویر JPG و فایل DLL برای رمزگشایی است. بدافزار از طریق تکنیک process hollowing در فرآیند svhost.exe تزریق شده و با Google Calendar ارتباط برقرار کرده، دستورات را از توضیحات رویدادهای مخفی دریافت می‌کند. گوگل حساب‌های Workspace مرتبط را مسدود کرده و قربانیان را مستقیماً مطلع کرده است.