گروه‌های باج‌افزاری از نرم‌افزار مشروع نظارت بر کارمندان Kickidler برای شناسایی، ردیابی فعالیت قربانیان و سرقت اعتبارنامه‌ها پس از نفوذ به شبکه‌ها استفاده می‌کنند. باج‌افزارهای Qilin و Hunters International این ابزار را که قابلیت ضبط کلیدها، گرفتن اسکرین‌شات و ایجاد ویدئو از صفحه نمایش دارد، نصب کرده‌اند. حملات با تبلیغات جعلی Google Ads برای RVTools آغاز شده که کاربران را به سایت جعلی هدایت می‌کند و نرم‌افزار آلوده‌ای دانلود می‌کنند که بک‌دور SMOKEDHAM PowerShell را اجرا کرده و Kickidler را نصب می‌کند.

مهاجمان با استفاده از Kickidler می‌توانند بدون تشخیص، روزها یا هفته‌ها در سیستم‌های قربانی باقی بمانند و اعتبارنامه‌های لازم برای دسترسی به پشتیبان‌گیری‌های ابری خارج از سایت را جمع‌آوری کنند. پس از جمع‌آوری اطلاعات، آن‌ها باج‌افزار را روی زیرساخت VMware ESXi مستقر کرده و فایل‌های VMDK را رمزگذاری می‌کنند. CISA توصیه می‌کند که مدافعان شبکه ابزارهای دسترسی از راه دور نصب شده را بررسی کرده، کنترل‌های برنامه برای جلوگیری از اجرای نرم‌افزارهای RMM غیرمجاز اعمال کنند و اتصالات ورودی و خروجی پورت‌های استاندارد RMM را مسدود کنند.