Eind april 2026 werd een incident ontdekt waarbij malware werd verspreid via illegale streamingwebsites voor films en tv-series. Gebruikers kregen een melding dat hun videoplayer-plugin verouderd was en werd gevraagd een update te installeren. Deze update bleek een ZIP-archief te zijn met een legitiem uitvoerbaar bestand en een kwaadaardige DLL. Bij het uitvoeren van het programma werd de DLL via side-loading ingeladen, waardoor de malware actief werd binnen het legitieme proces. De kwaadaardige code installeerde onder andere cryptominers en zorgde voor blijvende aanwezigheid op het systeem.

Deze infectieketen is geen geïsoleerd geval, maar sluit aan bij een campagne die al sinds minstens 2022 actief is en eerder werd beschreven door een andere cybersecuritypartij. De gebruikte distributiemethode is vrijwel onveranderd gebleven, hoewel de domeinen zijn gewijzigd, zoals het gebruik van urush1bar4.online. Ook een blogpost van NTT Security beschrijft een vergelijkbare methode waarbij een nep-browsercrashpagina wordt getoond terwijl een kwaadaardig archief wordt gedownload, wat overeenkomt met de huidige tactiek van de nep-plugin-update.

De schaal van de distributie is aanzienlijk, met websites die miljoenen bezoekers per maand trekken. Zo bereikten de kleinste digitale bibliotheken 11.000 gebruikers, terwijl de grootste tot 4,7 miljoen bezoekers hadden. Streamingwebsites voor piratenfilms en series hadden zelfs tussen de 2,1 en 27,4 miljoen bezoekers per maand. In totaal werden in april 2026 ruim 40 miljoen bezoeken geregistreerd aan sites waar de malware werd aangetroffen. Door deze brede verspreiding via verschillende platformen is het moeilijk om de dreiging aan één infectieweg toe te schrijven.

De malware zelf bestaat uit een ZIP-archief met een legitiem EXE-bestand en een kwaadaardige DLL. Bij het uitvoeren van het EXE-bestand wordt de DLL ingeladen via side-loading, waarna de kwaadaardige code wordt uitgevoerd. Deze code bevat modules voor het installeren van miners, een watchdog en een Remote Access Trojan (RAT) die de controle over het geïnfecteerde systeem mogelijk maakt. De campagne blijft de malware en infectiemechanismen continu bijwerken om detectie te ontwijken en persistentie te waarborgen.