Атаки проводятся с использованием обновлённого бэкдора Remexi, а также некоторых легитимных инструментов. По данным экспертов, бэкдор связан с группой хакеров Chafer, которая была замечена в киберслежке за жителями Ближнего Востока.