このサイバー攻撃のキャンペーンの初期アクセスは、設定ミスがあるLinuxシステムまたはIoTデバイス上で認証情報が試行され、ターゲットデバイスへの侵入を試みることから始まる。侵入に成功すると、シェルの履歴が無効化されるとともに、侵害されたパッチ適用済みのOpenSSHアーカイブファイルがリモートサーバからダウンロードされ、OpenSSHと共に悪意のあるファイルを含むバックドアがインストールされてしまう。バックドアはShell Script Compiler(shc)と呼ばれるオープンソースプロジェクトを使用してコンパイルされたシェルスクリプトとされ、さらなる攻撃や追加のツールを展開できるよう設計されていることがわかった。