Το κακόβουλο λογισμικό, το οποίο ανήκει στην οικογένεια των malware Win32/Aibatook, έχει χρησιμοποιηθεί και σε παλαιότερες καμπάνιες.

 

Η εξελιγμένη έκδοση του malware ωστόσο δεν έχει γραφτεί σε Delphi, αλλά σε C++. Επιπλέον φαίνεται πως έχουν υπάρξει αλλαγές σχετικά με τον τρόπο διανομής του malware αλλά και τον τρόπο υποκλοπής των πληροφοριών από τους υποψήφιους στόχους.

 

Οι ερευνητές αναφέρουν ότι οι κακόβουλοι φορείς δεν βασίζονται σε ολόκληρα exploit kits για την μόλυνση των συστημάτων, αλλά χρησιμοποιούν μόνο ένα exploit τη φορά.

 

Το malware διαδίδεται μέσω ιστοσελίδων ακατάλληλου περιεχομένου και εκμεταλλεύεται μια ευπάθεια της Java με το αναγνωριστικό CVE 2013-2465.

 

Toυλάχιστον τέσσερα domains έχουν παραβιαστεί μέχρι στιγμής και χρησιμοποιούνται για τη διανομή του malware. Ανάμεσα σε αυτά βρίσκονται και ιστοσελίδες υψηλής επισκεψιμότητας – που συγκαταλέγονται αυτή τη στιγμή ανάμεσα στις 2000 πιο δημοφιλείς ιστοσελίδες της Ιαπωνίας.