法国HarfangLab报告指出，自2025年4月起，网络威胁组织UAC-0057通过恶意压缩包对乌克兰和波兰进行网络间谍活动，利用VBA宏和混淆DLL植入程序收集情报，并伪装成合法文件，显示出其长期驻留能力的演进。

该文章介绍了一封带有恶意压缩包的垃圾邮件，压缩包包含一个LNK文件和一个PowerShell脚本。通过分析LNK和PowerShell脚本，发现脚本将创建一个新字符串作为下一个有效负载的URL，并对其进行去混淆处理。最终获取的有效负载是另一个PowerShell脚本，该脚本将执行一些操作。