Investigadores de Sophos han observado a los actores de amenazas STAC5143 y STAC5777, con conexiones a FIN7, haciéndose pasar por el soporte técnico de Microsoft Teams para engañar a empleados, robar datos y desplegar ransomware en redes corporativas. Los atacantes aprovechan la configuración por defecto de Teams, comenzando la cadena de infección con el envío de correos de phishing.
Tras esto, el objetivo recibe una llamada externa y se le convence para establecer una sesión de control remoto de pantalla a través de Teams. Después, el atacante deja caer un archivo Java y scripts Python (RPivot backdoor) alojados en un enlace externo de SharePoint para descargar un ejecutable legítimo de ProtonVPN, el cual carga lateralmente una DLL maliciosa que crea un canal C2 cifrado, proporcionando acceso remoto al dispositivo.