Kampagnen startede i november 2018 og er stadig igangværende. Ifølge Palo Alto Networks-undersøgelsen samler de, der står bag den ondsindede software, information om Nordkorea og også om resten af Nordøst-Asien. Palo Alto Networks har fundet ligheder med tidligere angreb, der har en nordkoreansk oprindelse, blandt andet er der visse ligheder i softwaren.

Det drejer sig om en målrettet kampagne, hvor de der ligger bag, kender deres mål godt. For eksempel har Palo Alto Networks fundet phishingmails sendt til et universitet i USA, der skulle holde en konference om atomvåbenoprustning i Nordkorea, samt til et forskningsinstitut og tænketank i USA, der arbejder med sikkerhedsspørgsmål, og hvor atomvåbeneksperter arbejder.

Angrebene sker ved hjælp af ”spear phishing”, som er emails med hensigt at narre bestemte modtagere. De sendte beskeder er maskeret, så det ser ud, som om de er skrevet af en atomenergiekspert, der arbejder som konsulent for flere tænketanke, det vil sige en afsender, som er kendt af modtageren.

Email-beskederne har et vedhæftet Excel-dokument med en såkaldt makro, en indlejret software, der kører, når modtageren klikker på filen. Dette starter derefter processer, som downloader en ondsindet software, som Palo Alto Networks kalder "BabyShark" til modtagerens computer. Derefter får angriberen adgang til computeren.

Palo Alto Networks kunder er beskyttet mod angrebene ved at virksomhedens sikkerhedsplatform stopper den ondsindede software.