Bei den Angriffen wird PlugX eingesetzt, ein RAT (Remote Access Trojan), d. h. ein Fernzugriff-Trojaner, der häufig für zielgerichtete Angriffe verwendet wird. Proofpoint verfolgt den Angreifer, bei dem es sich vermutlich um die als „TA459“ bekannte Gruppe handelt, die von China aus operiert. Von dieser Gruppe gingen bereits in der Vergangenheit Angriffe auf verschiedene militärische Einrichtungen in Zentralasien aus. Die aktuelle Kampagne des Angreifers wird nun seit gut zwei Monaten geführt. Jedoch gibt es Hinweise darauf, dass dieselbe Gruppe bereits seit 2013 unter Verwendung anderer Backdoors wie Saker, Netbot und DarkStRat aktiv ist.
Bei den aktuellen Angriffen handelt es sich um Spear-Phishing-E-Mails, mit denen die Sicherheitslücken von Dokumentanhängen in Microsoft Word und von Links, die auf RAR-Archive verweisen, genutzt werden. Die E-Mails, Dateinamen und Köder sind in der Regel in russischer Sprache verfasst.