Компанія Microsoft попередила про активну з лютого 2026 року кампанію, у якій шкідливе програмне забезпечення розповсюджується через USB-накопичувачі за допомогою підроблених ярликів. Коли користувач відкриває такий ярлик, хробак автоматично завантажує основний вірус через анонімну мережу Tor. Потім шкідник сканує комп’ютер, ховає оригінальні документи та замінює їх новими шкідливими ярликами, а також створює заплановане завдання для зараження будь-яких нових флешок.

Головне завдання вірусу — кожні пів секунди перевіряти буфер обміну на наявність адрес криптовалютних гаманців або секретних фраз відновлення. Знайдені адреси вірус автоматично замінює на гаманці зловмисників, які візуально схожі на оригінальні. Додатково програма кожні 10 секунд робить знімки екрана жертви та надсилає їх на сервер управління хакерів.