В ходе вредоносной кампании, продолжавшейся с 2018-го по 2020 года, злоумышленники используют RMS и TeamViewer.
RMS было модифицировано злоумышленниками таким образом, что при запуске исполняемого файла они получали полный удаленный контроль над атакованной рабочей станцией