В нескольких источниках пишут, что в операции Cronos против Lock­Bit могла эксплуатироваться уязвимость Remote Code Exe­cu­tion — PHP (CVE-2023–3824). Для уязвимости есть PoC buffer over­flow на GitHub, но признаков эксплуатации вживую с докруткой до RCE до сегодняшнего дня не было.

Если выяснится, что действительно эта уязвимость эксплуатировалась, то это будет очередным подтверждением старой истины: не ждите пока PoC доведут до боевого эксплоита и появятся железобетонные доказательства эксплуатации уязвимости вживую, обновляйтесь загодя!