Un'ondata di spionaggio di giugno collegata a Mustang Panda ha usato la distribuzione basata su archivi, il DLL sideloading e l'abuso di servizi cloud per confondere il confine tra traffico d'ufficio e traffico dell'operatore.
Un modello di campagna del 2025 attribuito a Gamaredon ha combinato spearphishing ripetuto e abuso di servizi cloud, mostrando come normali strumenti internet possano diventare copertura per un'intrusione persistente.
Una campagna di phishing costruita attorno a file LNK malevoli mostra come normali elementi di Windows e servizi affidabili possano essere assemblati in un percorso di intrusione più furtivo.