Національна команда реагування на кіберзагрози CERT-UA, починаючи з другої половини вересня 2025 року, фіксує спроби здійснення цільових кібератак у відношенні Сил оборони та органів місцевого самоврядування низки регіонів України. Притому кіберзлочинці використовують тематику «протидії російським диверсійно-розвідувальним групам», нібито, від імені Служби безпеки України.

Первинна взаємодія з об'єктом атаки забезпечується шляхом розповсюдження через поштові сервіси Ukr.net/Gmail (але не виключно) електронних листів, що містять посилання для завантаження архіву (в тому числі захищеного паролем), в якому знаходиться VHD-файл, або безпосередньо вкладення у вигляді файлу згаданого типу. В свою чергу VHD (Virtual Hard Drive) файл містить виконуваний файл та декілька документів-приманок, як правило у форматі PDF.

Досліджена активність відстежується за ідентифікатором UAC-0239.