سازمان‌های روسی هدف کمپین فیشینگی قرار گرفته‌اند که بدافزار PureRAT را توزیع می‌کند. این حملات از مارس ۲۰۲۳ آغاز شده و در سه‌ماهه اول ۲۰۲۵ نسبت به همین دوره سال ۲۰۲۴ چهار برابر افزایش یافته است. حمله با ایمیل فیشینگ حاوی فایل RAR یا لینک آرشیو شروع می‌شود که با استفاده از پسوند دوگانه خود را به عنوان سند Word یا PDF جا می‌زند.

پس از اجرا، بدافزار خود را در مسیر AppData کپی کرده و اسکریپت Visual Basic در پوشه Startup ایجاد می‌کند. PureRAT از طریق اتصال SSL با سرور کنترل ارتباط برقرار کرده و اطلاعات سیستم را ارسال می‌کند. این بدافزار دارای ماژول‌هایی برای اجرای دستورات، نظارت بر پنجره‌های فعال، تغییر آدرس کیف پول رمزارز، کنترل از راه دور، keylogger و دسترسی کامل به سیستم فایل است. همچنین PureLogs نیز به عنوان اطلاعات‌دزد عمل کرده و داده‌های مرورگرها، کلاینت‌های ایمیل، سرویس‌های VPN، اپلیکیشن‌های پیام‌رسان و کیف پول‌های رمزارز را سرقت می‌کند.