法国开发的红队演练工具MacroPack被滥用，部署了恶意负载Havoc、Brute Ratel和PhatomCore。恶意文档已涉及多个国家和地区，使用了高级功能如反恶意软件绕过和代码混淆。受害者打开文档后，会加载恶意DLL并连接到攻击者的C2服务器。攻击行为包括伪装成加密的NMLS更新表格、空白Excel工作簿和以巴基斯坦军事为主题的文件。开发者未回复。

安全公司Checkmarx报告发现八个伪装成混淆工具的恶意负载，主要针对使用Python编程语言的开发人员。这些工具能够窃取密码、键盘记录、下载文件、捕获屏幕截图等，具有入侵性。