Kiberjinoyatchilikka qarshi kurashishga ixtisoslashgan F6 kompaniyasi xplogs22 guruhining MDH mamlakatlari va boshqa mintaqalardagi tashkilotlarga qaratilgan keng ko'lamli fishing kampaniyasini aniqladi. Hujumchilarning asosiy nishonlari orasida O'zbekiston, Russia, Kazakhstan, Armenia, Azerbaijan va Belarus bor edi.
So'nggi 12 oy ichida hakerlar 2900 dan ortiq zararli elektron pochta xabarlarini yuborishgan, ularni oddiy ish yozishmalari sifatida niqoblashgan. Ko'pincha xabarlar "Shartnoma", "Contract", "Shartnoma loyihasi", "Payment receipt" va "To'lov nusxasi" kabi mavzular bilan shartnomalar, to'lovlar va moliyaviy hujjatlar haqidagi xatlarni taqlid qilgan.
Bunday xatlardagi ilovalar zararli fayllar bilan arxivlarni o'z ichiga olgan. Ularni ishga tushirgandan so'ng, qurilma zararlangan va hujumchilar tizimni masofadan boshqarish imkoniyatiga ega bo'lgan.

F6 ma'lumotlariga ko'ra, guruh kamida 2023 yil noyabridan beri faoliyat yuritadi. Ilgari xplogs22 SnakeKeylogger va FormBook Formgrabber zararli dasturlaridan foydalangan, ammo 2025 yil iyulidan boshlab XWorm 6.0 va 7.1 versiyalarining masofaviy kirish troyaniga o'tgan.
Bundan tashqari, hakerlar hujum usullarini takomillashtirdilar: endi ilovalarda nafaqat bajariladigan fayllar, balki .vbs, .hta va .bat kengaytmali yuklovchilar ham qo'llaniladi. Himoya tizimlarini chetlab o'tish uchun hujumchilar steganografiyadan ham foydalanadilar, zararli kodni tasvirlar ichiga yashiradilar.
Milliy domen zonalarida, shu jumladan .uz da soxta yuboruvchi manzillaridan foydalanish alohida xavf tug'diradi. Bu hujumchilarga xatlarni mahalliy kompaniyalardan kelgan xabarlar sifatida ko'rsatishga va muvaffaqiyatli zararlanish ehtimolini oshirishga imkon beradi.