このキャンペーンを発見したセキュリティ専門家は、2番目の段階で配布される文書ファイルを独立させて分析することに成功しました。この文書ファイルの攻撃方法は、今までにない新しいもので、セキュリティ網を迂回するためにありとあらゆる方法を考えるハッカー達の間で、流行しつつある、と分析しました。
複数の段階を経て、最終ペイロードをダウンロードする攻撃方法は以前にもあったものです。しかし、セキュリティ専門家が分析したウィンドウシステムが、2番目のペイロードをダウンロードする時に奇妙な点がありました。一般的に悪性文書ファイルを利用しようとすれば、マクロがまず動作しますが、今回のキャンペーンに使われた文書ファイルにはマクロもなく、シェルコードもありませんでした。URLのみがあり、被害者が文書ファイルを開くと、このURLを通じて遠隔でホスティングされた要素を持ってきてロードさせるものでした。
まず最初は、よく見られるフィッシングメールの手法が活用されます。メールに悪性.docx文書ファイルが添付されていますが、これがマクロもなく、エクスプロイトもない文書ファイルです。URLだけがフレームにエンベッドされています。開いた瞬間、HTTPリクエストが該当URLに伝達され、リモートオブジェクトがダウンロードされます。また別のURLにもう一度接続する場合もあり、最終的に悪性RTFファイルへと誘導されます。