Le groupe APT commence par envoyer un e-mail de spear-phishing, qui consiste en un fichier DOC intégré avec une URL pour un téléchargement de fichier ZIP. Une fois le fichier ZIP téléchargé, il contient un fichier EXE et un fichier DLL qui sont exécutés pour infecter les logiciels malveillants.