Cybersecurityonderzoekers hebben 11 kwaadaardige NuGet-pakketten ontdekt die zich voordoen als game cheats en spyware op Windows-systemen installeren. Deze .NET command-line tools fungeren als eerste fase downloaders die een tweede fase Python payload, genaamd "pepesoft.exe", ophalen van GitHub en Hugging Face onder de gebruikersnaam "pepegit666". De malware bevat ook een sluimerende BitTorrent fallback en gebruikt AWS-achtige sleutels om configuraties op te halen, authenticatie met Google Sheets uit te voeren en hardwaregebonden activaties te beheren. Daarnaast kunnen sommige payloads via Telegram bot-commando's screenshots terugsturen naar de aanvallers, aldus Socket.

Een Russische, financieel gemotiveerde dreigingsactor, bekend als UAT-11795, voert sinds juni 2025 een campagne uit gericht op gebruikers in de Verenigde Staten en Europa. Hierbij worden trojanized installers verspreid voor software zoals MobaXterm, WebEx, Zoom en FaceIT, die een Python-gebaseerde remote access tool (RAT) genaamd Starland RAT en een PowerShell-gebaseerde command-and-control (C2) geheugenimplantaat WLDR agent installeren. Deze malware verzamelt credentials, cryptocurrency wallet data en Active Directory-informatie en onderhoudt een persistente verbinding met de C2-server om verdere payloads te leveren. De distributieketen maakt gebruik van ClickFix-lures die HTA-scripts downloaden om de trojanized installers uit te voeren. Ook zijn via ClickFix de modulaire malware TELEPUZ en de macOS-gerichte ClickLock Stealer verspreid, die onder meer browserdata, crypto wallet extensies en macOS Keychain-informatie steelt, aldus Cisco Talos en Group-IB.

In juni 2026 werd een IT-dienstverlener in Zuid-Azië getroffen door een nieuwe ransomwarefamilie genaamd Spirals. Deze Rust-gebaseerde ransomware versleutelt het netwerk van het slachtoffer binnen 24 uur na de initiële inbraak. Volgens het onderzoeksteam van Broadcom Symantec en Carbon Black Threat Hunter Team betreft het een nieuw of speciaal voor deze aanval ontwikkelde ransomwarevariant die snel schade aanricht en mogelijk gericht is op snelle afpersing, zoals beschreven in de analyse van Security.com.