Der Angriff beginnt mit einer E-Mail, die eine HTML-Datei enthält. Beim Öffnen wird ein gefälschtes Microsoft OneDrive-Fenster angezeigt, das einen vermeintlichen DNS-Fehler meldet. Nutzer werden aufgefordert, den Fehler zu beheben, um Zugriff auf eine angebliche PDF-Datei zu erhalten. Durch Klicken auf einen "Beheben"-Button werden die Opfer zu weiteren Anweisungen geleitet, die sie zur Eingabe eines schädlichen Befehls in die Windows PowerShell verleiten sollen.

Der eingeschleuste Befehl lädt und führt versteckte Malware aus. Besonders heimtückisch ist der Einsatz von "Pastejacking", einer Technik, bei der der kopierte Text heimlich durch schädlichen Code ersetzt wird. Dies macht es für Nutzer nahezu unmöglich, den bösartigen Charakter des Befehls zu erkennen.

Technisch betrachtet nutzt der Angriff eine Kombination aus Base64-Kodierung und JavaScript-Funktionen. Der schädliche Befehl wird zunächst mittels der atob()-Methode dekodiert und dann über die execCommand-Methode in die Zwischenablage kopiert. Nach der Ausführung erstellt das Skript einen neuen Ordner auf dem C-Laufwerk, lädt eine Archivdatei herunter, benennt sie um und extrahiert zwei Dateien: "script.a3x" und "AutoIt3.exe". Anschließend wird "script.a3x" mithilfe von AutoIt3.exe ausgeführt, wodurch die eigentliche Malware auf dem System installiert wird.