Атаки начались с серии небольших волн рассылок по электронной почте, доставляющих всего несколько тысяч сообщений на каждом этапе, а затем количество писем резко возросло в конце сентября до сотен тысяч.
Преступники обманом заставляют пользователей активировать макросы после открытия вредоносных вложений Microsoft Excel, после чего загружается обфусцированный MSI-файл для установки загрузчиков следующего этапа. Последние устанавливают обновленную версию трояна для удаленного доступа FlawedGrace.
FlawedGrace, впервые обнаруженный в ноябре 2017 года, представляет собой полнофункциональный троян для удаленного доступа на языке C++ и специально разработанный для предотвращения реверсивного инжиниринга и анализа. Троян может устанавливать связь с C&C-сервером для получения инструкций и передачи результатов этих команд обратно на сервер.
В ходе последней вредоносной кампании преступники изменили свою тактику, которая теперь включает использование переоборудованных промежуточных загрузчиков, таких как Rebol и KiXtart, вместо Get2, ранее использованного группой для выполнения разведки, загрузки и установки RAT заключительного этапа.