El grupo de APT comienza enviando un correo electrónico de spear-phishing, que consiste en un archivo DOC incrustado con una URL para descargar un archivo ZIP. Una vez que el archivo ZIP se descarga, contiene un archivo EXE y un archivo DLL que se ejecutan para infectar malware.