Attackerna består av ett mail med en skadlig bilaga som är maskerat som hemligt dokument från den amerikanska staten. Hackaren får tillgång till det populära fjärrstyrningsverktyget TeamViewer och får på så sätt full kontroll över den infekterade datorn.

Genom att undersöka hela infektionskedjan och infrastrukturen har Check Point kunnat spåra tidigare operationer som har liknande egenskaper. Check Points forskargrupp upptäckte dessutom en online-avatar bestående av en rysktalande hackare, som verkar vara ansvarig för de verktyg som utvecklats och använts.

Enligt Check Point förefaller attackerna vara noggrant planerade och finansiellt motiverade, snarare än sponsrade från någon stat.