گوگل افشا کرد که گروه تهدید APT41 وابسته به دولت چین از بدافزاری به نام TOUGHPROGRESS استفاده کرده که از Google Calendar برای کنترل و فرماندهی (C2) بهره می‌برد. این بدافزار روی یک وب‌سایت دولتی به خطر افتاده میزبانی شده و برای هدف قرار دادن سازمان‌های دولتی متعدد استفاده شده است. APT41 که با نام‌های مختلفی شناخته می‌شود، گروهی پرفعالیت است که دولت‌ها و سازمان‌های مختلف در بخش‌های حمل‌ونقل، رسانه، فناوری و خودروسازی را هدف قرار می‌دهد.

زنجیره حمله شامل ارسال ایمیل‌های فیشینگ هدفمند حاوی لینک به فایل ZIP است که شامل یک میانبر ویندوز (LNK) مبدل شده به PDF می‌باشد. بدافزار از سه جزء PLUSDROP، PLUSINJECT و TOUGHPROGRESS تشکیل شده که به ترتیب عملیات رمزگشایی، تزریق فرآیند و استفاده از Google Calendar برای C2 را انجام می‌دهند. TOUGHPROGRESS رویدادهای تقویم گوگل را برای ذخیره داده‌های سرقت شده و دریافت دستورات رمزگذاری شده خوانده و می‌نویسد. گوگل تقویم مخرب را حذف کرده و پروژه‌های Workspace مرتبط را خاتمه داده است.