A principios de 2026, los actores de amenazas explotaron vulnerabilidades en SolarWinds Web Help Desk, incluyendo CVE-2025-40551 y CVE-2025-40536, para obtener acceso inicial y escalar privilegios en servidores vulnerables. Los atacantes luego aprovecharon la herramienta de Windows print.exe para extraer información sensible y exfiltrarla.

Una sofisticada campaña de phishing ataca los sectores manufacturero y gubernamental en Italia, Finlandia y Arabia Saudita mediante un cargador TaskScheduler troyanizado. Abusa de RegAsm.exe a través del proceso hollowing para distribuir PureLog Stealer, que ejecuta tráfico de red saliente anómalo desde esta utilidad .NET, informa de la inyección de código y la evasión living-off-the-land.