По данным Eset, вредонос, использовавшийся для новых атак, загружается, когда жертва открывает приложенный к фишинговому письму файл Excel, — в нем содержится соответствующий вредоносный скрипт. Контролируется «черный вход» с помощью писем, отправляемых с аккаунта Gmail, поэтому, по словам специалистов Eset, отследить управляющий трафик в сети трудно.
Исследователи отмечают, что от хакеров, работающих на правительство, трудно ожидать использования свободно доступного вредоноса, но с другой стороны, это могло быть сделано специально, чтобы сбить с толку тех, кто попытается расследовать ситуацию.