Часть инфраструктуры, использовавшейся в предыдущих операциях группы Carbanak, задействована и в новых атаках, утверждают в Symantec. Хакеры рассылают документы в формате Microsoft Word и архивы RAR, зараженные вирусами. После проникновения в систему вирусы загружают другие инструменты для извлечения паролей и другой информации.
По оценкам Symantec, атакам подверглось уже порядка ста организаций банковской и биржевой отрасли. Хакеры атакуют и отдельные государственные, медицинские и юридические организации. Вирусы пытаются замаскировать записи о мошеннических переводах по сети SWIFT, из-за чего жертвы не всегда в состоянии выявить кражу. Информация была передана SWIFT.