15 апреля 2026 года 11:37 стало известно о новой схеме кибератак группировки Storm-2561. Злоумышленники используют SEO-отравление для распространения вредоносного ПО через поддельные сайты VPN-клиентов Ivanti и Fortinet. Загружаемые архивы с GitHub содержат инфостилеры и загрузчики кода, при этом вредонос подписан отозванным сертификатом. При установке жертвам показывают фальшивые формы авторизации для кражи учетных данных. После кражи данных система имитирует сбой, предлагая установить оригинальный клиент, что позволяет атаке оставаться незамеченной. Вредоносное ПО закрепляется в системе через автозагрузку.