CISA та FBI опублікували спільне попередження про активну експлуатацію CVE-2025-22224 угрупованням APT41. Атаки почалися в січні 2026, зловмисники отримують root-доступ до віртуальних хостів, встановлюють бекдори та крадуть конфігурації, бази даних та криптоключі.

APT41фокусується на крадіжці інтелектуальної власності та фінансових даних. Вразливість дозволяє виконувати команди без аутентифікації через спеціально сформовані пакети. Для компаній з віртуалізацією VMware — це високий ризик: компрометація хоста дає доступ до всіх VM, що може призвести до масового витоку чи шпигунства.