Первое тип вредоносного документа замаскирован под внутреннее сообщение открытого акционерного общества «Государственный ракетный центр имени академика В. П. Макеева» (АО «ГРЦ Макеева»). АО «ГРЦ Макеева»— стратегический холдинг оборонно-промышленного комплекса страны в ракетно-космической отрасли. Письмо якобы было отправлено из отдела кадров организации.
Как сообщается в письме, HR выполняет проверку личных данных, предоставленных сотрудниками. В электронном письме сотрудников просят заполнить форму и отправить ее в отдел кадров или ответить на это письмо. Для заполнения формы получателю сперва необходимо разрешить редактирование. И этого действия достаточно для эксплуатации уязвимости.
Когда жертва открывает вредоносный документ Microsoft Office, происходит загрузка специально созданного элемента управления ActiveX. Затем загруженный элемент управления ActiveX может запускать произвольный код и устанавливать дополнительные вредоносы.
Второе письмо было якобы отправлено из Министерства внутренних дел в Москве. Документ под названием «Уведомление о незаконной деятельности» предлагает получателю заполнить форму и вернуть ее в Министерство внутренних дел или ответить на это письмо. Письмо также побуждает предполагаемую жертву сделать это в течение 7 дней.