En mayo de 2024, la Unidad de Respuesta a Amenazas (TRU) de eSentire detectó un ataque que involucraba una herramienta activadora KMSPico falsa, que instalaba el troyano Vidar Stealer. El ataque aprovechó las dependencias de Java y un Script de AutoIt malicioso para desactivar Windows Defender y, finalmente, descifrar la carga útil de Vidar mediante una shell.

KMSPico es uno de los desarrollos más populares para «activar» las licencias de productos de Microsoft como los sistemas operativos Windows y las suites Office

Existen diferentes tipos de activación de licencias en Windows 10. Entre los métodos "no oficiales", está el sistema KMS funciona renovando una licencia cada pocos meses (por defecto 180 días; en este caso especial, son 38 años, por lo tanto, "KMS38"). Es una herramienta legítima de Microsoft muy utilizada en escenarios empresariales y educativos. El truco de KMS simplemente redirige KMS a un servidor KMS falso que siempre devolverá una respuesta positiva. Por último HWID (solo Windows 10-11) es una activación de licencia digital permanente vinculada a su placa base (BIOS/UEFI).