Według dostawcy antywirusów zaatakowano instytucje rządowe, związane ze wzrostem gospodarczym i współpracą w krajach CEE. Oprócz polskich ośrodków cyberprzestępcy skoncentrowali się przede wszystkim na czeskich, słowackich, węgierskich i ukraińskich celach. Zastosowali nieskomplikowaną i skuteczną technikę infekcji komputerów swoich ofiar – rozsyłali e-maile przypominające te nadawane przez znane firmy i instytucje. W wiadomościach był zainfekowany załącznik przypominający plik programu Word. Po jego uruchomieniu w systemie instalował się wirus, który umożliwiał przejęcie kontroli nad komputerem i kradzież danych.

Działanie wszystkich komponentów wykorzystywanych podczas ataku zależne było od komunikacji sieciowej. Aby zwiększyć szanse nawiązania połączenia, złośliwy program stosował dwie niezależne metody: najpierw protokół HTTP, a jeśli to nie odniosło efektu, wykorzystywał aplikację do obsługi poczty ofiary i za pomocą wiadomości e-mail przesyłał wykradzione dane.