2023年8月，Positive Technologies的SOC专家在一家俄罗斯公司发现了异常活动。事件需要PT CSIRT团队（PT专家安全中心的一个部门）进行干预。专家们发现，被调查的公司的用户是未知恶意软件的受害者。

详细的全面调查中，在164个国家发现了受害者。绝大多数（超过20万）在俄罗斯、乌克兰、白俄罗、乌兹别克斯坦。还包括来自印度、菲律宾、巴西、波兰和德国的用户。

根据CSIRT的数据，攻击主要针对下载非法软件的非公司用户，但受害者包括政府机构、教育机构、石油和天然气公司、医疗、建筑、零售和IT公司。他们都收到了威胁通知。

Positive Technologies安全专家中心网络威胁研究主管Denis Kuvshinov表示：“一旦安装，这种恶意软件的行为就会非常复杂：它收集有关受害者计算机的信息，安装 RMS（用于远程控制）程序和 XMRig 矿工，并存档用户 Telegram 文件夹 （tdata） 的内容——这些只是在短时间内观察中最活跃的行动。在我们观察到的一个特定案例中，恶意软件将收集到的信息从用户的企业笔记本电脑发送到Telegram bot，它在该链中充当控制服务器。”

专家指出，入侵者访问了Telegram文件夹，进入用户的Telegram会话并监视通信，从帐户中提取数据，同时保持隐身。即使用户设置了双因素身份验证，黑客也可以通过使用暴力强制（Brute Force）来成功地绕过它。建议Telegram用户在检测到黑客迹象后结束当前会话并再次登录Messenger。

根据调查数据，此次袭击中使用的恶意软件并不难分析，专家们只研究了一次使用它的攻击，就获得了全球超过25万受害者的信息。Positive Technologies认为，实际受害人数超过了这一数字，随着使用这种武器的攻击数量的增加，受害者人数只会增加。