Pelaku ancaman yang terkait dengan operasi spionase dunia maya setidaknya sejak tahun 2017 telah memikat korban dengan perangkat lunak VPN palsu Android yang merupakan versi trojan dari perangkat lunak resmi SoftVPN dan OpenVPN. Para peneliti mengatakan bahwa kampanye tersebut "sangat bertarget" dan ditujukan untuk mencuri data kontak dan panggilan, lokasi perangkat, serta pesan dari berbagai aplikasi. Operasi tersebut dikaitkan dengan threat actor tingkat lanjut yang dilacak sebagai Bahamut, yang diyakini sebagai kelompok tentara bayaran yang menyediakan layanan hack-for-hire. Analis malware ESET Lukas Stefanko mengatakan bahwa Bahamut mengemas ulang aplikasi SoftVPN dan OpenVPN untuk Android untuk memasukkan kode berbahaya dengan fungsi mata-mata. Dengan melakukan ini, aktor memastikan bahwa aplikasi tersebut akan tetap menyediakan fungsionalitas VPN kepada korban sambil mengekstraksi informasi sensitif dari perangkat seluler.