Omedelbart efter det offentliga avslöjandet av NetTraveler (också känd som Travnet, Netfile eller Red Star APT) i juni 2013 stängde angriparna ner alla kända kontrollsystem och flyttade dem till nya servrar i Kina, Hong Kong och Taiwan. Attackerna har obehindrat kunnat fortsätta vilket nu visas.

Under de senaste dagarna har ett flertal nätfiskemejl skickats till åtskilliga uiguriska aktivister, en attackmetod av typen harpunfiske. Angriparna använder en sårbarhet i Java för att distribuera den nya varianten av NetTraveler. Denna sårbarhet åtgärdades så sent som i juni 2013 och har därför en högre framgångsfrekvens än de sårbarheter hos Office som har använts i tidigare attacker och som åtgärdades av Microsoft i april 2013.

Utöver nätfiskemejl har angriparna använt så kallade vattenhål (omdirigering från webbsidor och drive-by nedladdningar på riggade domäner) för att infektera offer som surfar på nätet.

Under senaste månaden har Kaspersky Lab fångat upp och blockerat ett antal infektionsförsök från domänen wetstock[dot]org som redan innan har förekommit i tidigare NetTraveler-attacker. Omdirigeringarna verkar komma från andra Uigurenrelaterade webbsidor som har infekterats av angriparna bakom NetTraveler.