Una campagna di spionaggio segnalata e collegata a Seedworm mostra come un software legittimo possa diventare la maschera per l’esecuzione malevola, senza alcuna prova che i fornitori siano stati compromessi.
Una campagna attribuita a UAC-0184 combina la fase di staging con BITS, l'esecuzione tramite HTA e binari firmati, mostrando come i componenti Windows ordinari possano essere concatenati in un percorso di consegna furtivo.
Una campagna di spionaggio segnalata mostra come un eseguibile firmato possa diventare poco più di una maschera quando il payload reale arriva tramite una DLL sideloaded.