בינואר ופברואר 2023 עברו שישה משרדי עורכי דין שונים מתקפות סייבר בהן הופצו נוזקות GootLoader ו- FakeUpdates (המכונה גם SocGholish). נוזקת GootLoader פעילה מאז סוף 2020 והיא מסוגלת לספק מגוון רחב של נוזקות מישניות כגון Cobalt Strike וכופרה. היא משתמשת בעיקר בהרעלת אופטימיזציה של מנועי חיפוש (SEO) כדי להעביר קורבנות המחפשים מסמכים הקשורים לעסקים, לעבר אתרי הורדה זדוניים הכוללים נוזקות JavaScript.
חברת אבטחת הסייבר eSentire טוענת כי במתקפות הסייבר על משרדי עורכי הדין, השתמשו ההאקרים באתרי וורדפרס לגיטימיים אך בעלי פגיעויות אבטחה והוסיפו פוסטים חדשים בבלוג ללא ידיעת בעלי האתרים. פוסטים לכאורה מקצועיים אלו הכילו קישורים לאתרים זדוניים. כאשר משתמש נכנס לאחד מדפי האינטרנט הזדוניים הללו ולחץ על קישור כדי להוריד למשל הסכם עסקי לכאורה, הוא למעשה הוריד ללא ידיעתו את GootLoader.
GootLoader אינה נוזקת JavaScript היחידה המכוונת לאנשי מקצוע עסקיים ומשרדי עורכי דין. קבוצה שנייה של מתקפות כללה גם שימוש ב- SocGholish, שהיא תוכנת הורדה המסוגלת להפעיל קבצי הפעלה. היבט בולט נוסף של החדרת הנוזקות הללו הינו היעדר פריסת כופרה. במקום זאת העדיפו ההאקרים פעילות מעשית, מה שמרמז שהמתקפות יכולות להשתנות בהיקפן ולכלול גם פעולות ריגול.
