Дослідники з Huntress Labs повідомили про виявлення в реальному середовищі всіх трьох zero-day експлойтів — причому вразливість BlueHammer експлуатується починаючи з 10 квітня. Крім BlueHammer, дослідники зафіксували застосування UnDefend та RedSun на пристрої, скомпрометованому через зламаний SSL-VPN-акаунт — з ознаками безпосередньої ручної роботи зловмисника на системі. За допомогою RedSun зловмисники можуть отримати привілеї рівня SYSTEM на Windows 10, Windows 11 та Windows Server 2019 і новіших версіях навіть за умови увімкненого Windows Defender.

Microsoft наразі відстежує вразливість BlueHammer під ідентифікатором CVE-2026-33825 і виправила її в оновленнях безпеки квітня 2026 року, однак дві інші вразливості — RedSun та UnDefend — залишаються непатченими. Раніше ці три вразливості оприлюднив дослідник під псевдонімом Nightmare-Eclipse у знак протесту проти практики Microsoft при роботі зі звітами про вразливості від сторонніх фахівців. Така ситуація, коли дослідник публікує робочий експлойт до виходу патча від виробника, називається «full disclosure» і створює вікно часу, протягом якого системи є беззахисними.