Een gezamenlijke actie van overheid en private sector onder leiding van de FBI heeft geleid tot de ontmanteling van Outsider Enterprise, een Chinees Phishing-as-a-Service (PhaaS) netwerk. Dit syndicaat, actief sinds 2023, gebruikte AI en verspreide phishingkits om miljoenen frauduleuze sms-berichten te versturen namens vertrouwde merken via grote Amerikaanse telecomproviders. De financiële schade wordt geschat op 1,9 miljard dollar, met ongeveer 3,8 miljoen gestolen creditcardgegevens. Federale autoriteiten wisten meerdere administratieservers, een Shopify-webwinkel, een Telegram-bot met klantdata en circa 100.000 dollar aan cryptocurrency in beslag te nemen.

Tegelijkertijd schakelde Google duizenden gerelateerde domeinen uit en startte een civiele rechtszaak tegen de beheerders van de infrastructuur. Het technologiebedrijf werkt nu actief samen met AT&T, T-Mobile en Verizon om de frauduleuze sms-berichten te blokkeren voordat ze gebruikers bereiken. In een andere gezamenlijke operatie met Europol en Eurojust verwijderden politieteams wereldwijd SocGholish-malware van bijna 15.000 geïnfecteerde WordPress-websites en ontmantelden zij meer dan 100 commandservers. Deze actie maakt deel uit van Operation Endgame, gericht op de infrastructuur van de Russische cybercrimegroep Evil Corp.

SocGholish, een JavaScript-downloader actief sinds 2017, kapte legitieme websites om bezoekers te misleiden tot het installeren van kwaadaardige payloads die zich voordoen als browserupdates. Na installatie creëert de malware een backdoor voor het uitrollen van secundaire malware en ransomware. Na de technische opschoning adviseerden autoriteiten beheerders dringend om multi-factor authenticatie (MFA) in te voeren en hun platformsoftware te updaten, zoals ook in het advies van de politie wordt benadrukt. Deze grootschalige verstoring voorkomt verdere schade aan wereldwijde netwerken en markeert het begin van een langdurige handhaving tegen het botnet.

In een ander incident misbruikt de ransomwaregroep DragonForce sinds 2023 Microsoft Teams relay-infrastructuur om command-and-control (C2) communicatie te verbergen. Met een op Go gebaseerde malware, Backdoor.Turn, gebruiken zij het TURN-protocol van Microsoft om via een directe QUIC-verbinding met hun C2-server te communiceren. Onderzoekers observeerden een aanval waarbij de aanvallers een anonieme Teams-bezoekerstoken gebruikten, waardoor netwerkverdedigers alleen uitgaand verkeer naar vertrouwde Microsoft-servers zagen. Hierdoor bleef de aanval tot twee maanden onopgemerkt. De inbraak begon vermoedelijk in december 2025 via een kwetsbaarheid in een SQL-server, waarna een PowerShell-commando een ZIP-bestand met een zogenaamd hotfix uitrolde en een DLL side-loading volgde. Om kernelrechten te verkrijgen en beveiligingstools te beëindigen, maakten de aanvallers gebruik van Bring Your Own Vulnerable Driver (BYOVD)-technieken, waaronder een Huawei-audiostuurprogramma en een aangepaste ABYSSWORKER-payload die zich voordeed als legitieme Palo Alto-software. Dit is de eerste gedocumenteerde misbruik van Microsoft Teams TURN-relays voor C2-communicatie, voortbouwend op de theoretische Ghost Calls-techniek uit eerder onderzoek.