La verdad es que creo que fue culpa de los clientes pero, por si acaso os dejo un aviso.
Hay un exploit que es capaz de saltarse el sandbox de chrome/edge y ejecutar archivos en nuestro ordenador.
Estaba muy sorprendido cuando lo vi, pero investigando la pagina me di cuenta que esta usaba flash para mostrar el contenido, posiblemente sea un exploit de flash.. para variar  .
Lo que me sorprendio es que el virus instalado no era excesivamente complejo, para ocultarse de los anti virus, estaba comprimido y cifrado para despues ser inyectado en la memoria por un loader.
El virus despues, inyectaba shellcode en varios procesos, para que actuasen como guardianes y no se pudiese cerrar/borrar los archivos, tampoco remover del registro.

Luego, el virus actuaba como keylogger y minero, los registros del keylogger no estaban cifrados y eran totalmente visibles, el minero simplemente lo guardaba en una carpeta de TEMP.
Entonces, como es posible que un exploit tan complejo este vinculado a un virus tan mediocre? 
Vere a ver si puedo encontrar binarios mas tarde y los analizamos