网络安全研究人员披露了名为SHADOW#REACTOR的新攻击活动，该活动采用规避性多阶段攻击链来传播商业远程管理工具Remcos RAT。攻击从混淆的VBS启动器开始，通过PowerShell下载器获取文本载荷片段，经.NET Reactor保护的组件重构解码后，利用MSBuild.exe完成执行。该活动主要针对企业和中小型商业环境，采用文本中间载荷和内存重构等技术来规避检测和分析。