برخی از شرکتهای بزرگ و دولت که عمدتاً در آسیا واقع شدهاند، مورد حملات هدفمند گروه جاسوسی Worok قرار گرفتند. این گروه از اواخر سال ۲۰۲۰ فعال شده است. Thibaut Passilly، محقق ESET در گزارش جدیدی که ۱۵شهریور ماه منتشر شده است اشاره کرده که ابزار Worok شامل C++ loader CLRLoad، یک درب پشتی PowerShell PowHeartBeat و C# loader PNGLoad است که از استگانوگرافی برای به دست آوردن payloadهای مخرب پنهان از فایلهای PNG استفاده میکند.
برخی معتقدند که Worok در ابزارها و منافع با یک گروه متخاصم دیگر به نام TA428 همپوشانی دارد. این گروه به حملات علیه نهادهایی مرتبط است که بخشهای انرژی، مالی، دریایی و مخابراتی در آسیا و همچنین یک آژانس دولتی در خاورمیانه و شرکت خصوصی در جنوب آفریقا را هدف قرار داده است.