با شروع سال 2017 محققان حوزه‌ی امنیت سایبری با باج‌افزاری رو‌به‌رو شدند که شیوه‌ی نگارش جدیدی داشت «Sage» که نام این باج‌افزار است از زیرساخت باج‌افزار مشهور دیگری به نام Locky استفاده کرد.
در کندوکاوی که در مورد کدهای این باج‌افزار انجام شد، مشخص شد که با وجودی که کدگذاران این باج‌افزار که در ابتدا در حملات فیشینگ‌ قربانیان را با استفاده از عناوین جنسی هدف قرار می‌دادند، خیلی زود به جریان جدیدتری تغییر موضع دادند که در آن، دریافت‌کنندگان ایمیل‌ها ترغیب می‌شوند روی فایل زیپ ضمیمه ایمیل که عنوانی مرتبط با کسب و کار دارد و به نظر می‌رسد درباره لغو یک تراکنش مالی باشد، کلیک کنند.

در هر دوی این کمپین‌ها پیام‌های ایمیلی و متا دیتای استفاده شده در آن‌ها و همین طور درگاه پرداخت وبسایت Tor مانند کمپین  Locky بودند.
بنابراین بر خلاف آن‌چه که تا کنون مبنی بر از بین رفتن تهدید Locky در حوزه‌ی امنیت سایبری ادعا می‌شد،Locky  هم ‌چنان در این عرصه حضور دارد و مورد استفاده قرار می‌گیرد، با وجود این که از استراتژی دیگری بهره برده باشد.
این زیرساخت مشترک در واقع به ارتباط قابل تأملی میان این دو گونه باج‌افزار اشاره دارد و این نکته را یادآوری می‌کند که زیرساخت توزیع و پشتیبانی بدافزارها بارها مورد‌استفاده مجدد قرار می‌گیرد.
این کمپین نشان می‌دهد که خالقان Locky با استفاده از این باج‌افزار جدید تلاش در به‌روز بودن می‌کنند اما هم‌چنان از باج‌افزار Locky که امتحان‌پس‌داده است بهره می‌برند.

با وجود این که باج‌افزارها سیر تکاملی خود را ادامه می‌دهند، استفاده از زیرساخت‌های مشترک توسط مهاجمان می‌تواند مقابله با این حملات را برای متخصصان امنیت راحت‌تر کند زیرا زیرساخت مشترک امکان شناسایی بهتر و جلوگیری از توزیع باج‌افزار را فراهم می‌کند.