Företaget har kunnat spåra kampanjen bakåt i tiden och kan se att den pågått sedan åtminstone i november förra året. Intrången leder till att ett så kallat remote access tool (RAT) som heter Netsupport Manager installeras på användarens dator. Denna programvara används ofta av IT-specialister för att få fjärrtillgång till datorer för att till exempel installera ny programvara eller undersöka problem. 

I detta fall ger programvaran istället tillgång till datorerna till cyberbrottslingar. Intrånget sker genom att ett phishingmejl skickas till användare. Mejlet har en bifogad fil som ser ut som en lösenordsskyddad fil från Nortonlifelock. Nortonlifelock är ett säkerhetsprogram för konsumenter, tidigare känt som Symantec. Eftersom många användare känner igen denna typ av fil så ger många datorn tillåtelse att använda makron i det bifogade Worddokument som filen innehåller. Då kan intrånget starta.