محققان امنیت سایبری کمپین بدافزاری جدیدی را شناسایی کرده‌اند که از یک بارگذار shellcode مبتنی بر PowerShell برای استقرار تروجان دسترسی از راه دور Remcos RAT استفاده می‌کند. مهاجمان فایل‌های LNK مخرب را درون آرشیوهای ZIP جاسازی کرده و آن‌ها را به عنوان اسناد Office جا می‌زنند. زنجیره حمله از mshta.exe برای اجرای پروکسی در مرحله اولیه استفاده کرده و از طعمه‌های مرتبط با مالیات برای فریب کاربران استفاده می‌کند. این حمله فایل HTA مبهم شده‌ای را اجرا کرده که کد Visual Basic Script برای دانلود اسکریپت PowerShell، PDF فریبنده و فایل HTA دیگری دارد.

Remcos RAT یک بدافزار شناخته شده است که کنترل کامل سیستم‌های آسیب‌دیده را به مهاجمان می‌دهد و قابلیت‌هایی مانند جمع‌آوری متادیتای سیستم، ثبت کلیدها، گرفتن اسکرین‌شات و نظارت بر داده‌های کلیپ‌بورد دارد. این نوع حملات fileless که مستقیماً در حافظه اجرا می‌شوند، برای مهاجمان جذاب هستند زیرا می‌توانند از تشخیص راه‌حل‌های امنیتی سنتی فرار کنند. همزمان، کمپین‌های فیشینگ و مهندسی اجتماعی متعددی شناسایی شده‌اند که از تکنیک‌های مختلفی مانند نسخه‌های تروجان شده KeePass، طعمه‌های ClickFix، و استفاده از هوش مصنوعی برای ایجاد کمپین‌های فیشینگ چندشکل که در زمان واقعی تغییر می‌کنند، استفاده می‌کنند.