Una campagna legata a Screening Serpens mostra come l'abuso di AppDomainManager possa trasformare un fidato percorso di avvio .NET in un rifugio iniziale per il malware.
Una catena di abuso .NET riportata mostra come i difensori possano perdere visibilità prima che un'applicazione si assesti completamente, soprattutto quando la manipolazione dell'avvio si combina con il sideloading di DLL e esche a tema reclutamento.
Un implant Windows appena identificato, collegato a Screening Serpens, mostra come i percorsi di comando ospitati nel cloud e l'abuso del flusso di esecuzione possano rendere il traffico di spionaggio più difficile da distinguere dalla normale attività aziendale.