Theo phân tích của chuyên gia bảo mật, chiến dịch tấn công bắt đầu từ việc phát tán các thư điện tử (e-mail) lừa đảo chứa tệp LNK giả mạo thành tài liệu PDF liên quan công việc. LNK là một phần mở rộng tên tệp cho các phím tắt đến các tệp cục bộ trong hệ điều hành máy tính Windows. Các phím tắt tệp LNK cung cấp quyền truy cập nhanh vào các tệp thực thi (các file có đuôi .exe) mà không cần người dùng điều hướng đường dẫn đầy đủ của chương trình.
Khi người dùng mở tệp giả mạo, một chuỗi lệnh được kích hoạt để tải xuống và thực thi các tệp mã độc từ các nguồn lưu trữ bên ngoài theo dạng dịch vụ lưu trữ dữ liệu trực tuyến (Dropbox). Ngoài ra, mã độc còn được tin tặc (hacker) thực hiện mã hóa nhiều lớp và dùng những kỹ thuật, công nghệ tiến tiến, hiện đại nhằm tránh bị phát hiện hòng qua mặt các hệ thống bảo mật của các hệ thống thông tin.
Ở giai đoạn cuối cuộc tấn công, mã độc có thể truy cập mã nguồn mở từ xa (Quasar RAT) được triển khai, cho phép đối tượng tấn công chiếm quyền điều khiển hệ thống bị lây nhiễm. Từ đó hacker có thể truy cập và đánh cắp dữ liệu quan trọng hoặc thực hiện theo dõi hoạt động của nạn nhân hoặc cài thêm các phần mềm độc hại khác vào hệ thống thông tin.
Để đảm bảo an toàn hệ thống, ngoài việc thường xuyên giám sát hệ thống và kiểm tra lưu lượng mạng để phát hiện các kết nối không rõ nguồn gốc, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) khuyến nghị người dùng, quản trị viên cần luôn cập nhật các bản vá mới nhất cho hệ thống và các phần mềm bảo mật. Đặc biệt, các đơn vị cần chú trọng đào tạo và nâng cao nhận thức an toàn thông tin cho nhân viên như một giải pháp quan trọng để đảm bảo các nhân viên, nhất là những người làm việc trong lĩnh vực tiếp thị số có hiểu biết về các kỹ thuật lừa đảo cũng như cách phòng tránh các tệp đính kèm độc hại trong e-mail.