Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een wereldwijde campagne waarbij criminelen onschuldig lijkende tools, zoals een "PDF-editor" of "Manual Finder" verspreiden, om systemen met malware te infecteren. De besmette computers worden vervolgens door kwaadwillenden als 'residential proxy' gebruikt. Aanvallers laten hun verkeer via deze proxies lopen, bijvoorbeeld om over een ip-adres in een bepaald land te beschikken waar ook het uiteindelijk beoogde doelwit zit. Eerder waarschuwde ook securitybedrijf Expel voor de campagne.

De malafide applicaties, "Manualfinder", "PDF-editor" en varianten daarvan, lijken tools voor het vinden van handleidingen en bewerken van pdf-documenten. Volgens het NCSC lijkt de start van de infectieketen te liggen bij malafide advertenties die zich voordoen als een pdf-handleiding waarnaar de gebruiker zoekt. Daarnaast zou het ook gaan om gratis pdf-software die in ruil voor gratis diensten het ip-adres van gebruikers opneemt in het residential proxynetwerk.

Verder meldt het NCSC dat er een verband lijkt te zijn met de OneStart Browser. Deze tool wordt vaak gebundeld met andere software, maar door diverse antivirusbedrijven omschreven als een Potentially Unwanted Application (PUA). "OneStart wordt vaker in verband gebracht met de verspreiding en installatie van spyware en adware", aldus het NCSC. Volgens de overheidsdienst lijkt de campagne op dit moent stil te liggen en zijn er nagenoeg geen nieuwe activiteiten meer waargenomen. Het NCSC heeft verschillende Indicators of Compromise gegeven waarmee infecties zijn te detecteren. Ook wordt aangeraden om bepaalde domeinen die de aanvallers gebruiken te blokkeren.