Microsoft ha notato che il gruppo di hacker noto come Evil Corp o TA505 ha cambiato tattica nella sua campagna di phishing in corso per diffondere malware utilizzando documenti Excel dannosi. L'azienda ha fornito maggiori dettagli sulla nuova campagna in una serie di tweet in cui i suoi ricercatori affermavano che il payload finale veniva ora consegnato utilizzando un documento Excel contenente una macro dannosa. Evil Corp è attiva dal 2014 e il gruppo criminale informatico è motivato finanziariamente. È noto che prende di mira le attività commerciali al dettaglio e gli istituti finanziari utilizzando grandi campagne di spam dannose alimentate dalla botnet Necurs. I ricercatori di Microsoft Security Intelligence hanno spiegato in un tweet come funziona la nuova campagna di Evil Corp, dicendo: "La nuova campagna utilizza forwarder HTML allegati alle e-mail. Una volta aperto, il codice HTML porta al download di Dudear, un file "Excel caricato con malware macro che rimuovono il payload. Al contrario, le campagne e-mail: le e-mail di Dudear in passato contenevano malware come allegato o utilizzavano URL dannosi."