Attackierer betreiben bei Google hochgerankte Fake-Seiten für Tools wie Ghidra und dnSpy, leiten Nutzer über ein TDS-gesteuertes JavaScript an Malware-Server weiter und umgehen dabei Sicherheitsanalysen durch Filterung von VPN, Rechenzentren und wiederholten Zugriffen.
