De aanvallers die twee onbekende beveiligingslekken in Adobe Flash Player gebruikten, hebben hun slachtoffers op verschillende manieren geprobeerd te verleiden. Vanwege de twee zero day-lekken ging Adobe over tot het uitbrengen van een noodpatch. De aanvallen waren zowel tegen Windows- als Mac-gebruikers gericht. Daarnaast werden zowel e-mailbijlagen als kwaadaardige websites gebruikt.

Symantec wist één van de e-mails te achterhalen die de criminelen gebruikten. De e-mail heeft als onderwerp 'Working plan' en beweert dat de meegestuurde bijlage informatie over komende gesprekken bevat.

Schema
Beveiligingsbedrijf AlienVault Labs ontdekte dat de aanvallers onder andere een schema van de 2013 IEEE Aerospace Conferentie als lokaas gebruikten. Ook een "Employee Quick Reference Guide' van salarisverwerker ADP werd door de aanvallers ingezet. De DOC-bestanden waren van een ingebed Flash-bestand voorzien dat een onbekend lek in Flash Player misbruikte.

Backdoor
Onderzoeker Eric Romang analyseerde de aanval die naar het domein boeing-job.com wees. Dit domein was door de aanvallers zelf geregistreerd.

De aanvallers hadden ook een subdomein aangemaakt dat naar de website van een andere organisatie wees. Deze website gebruikte een verouderde XAMPP installatie, die de aanvallers gebruikten om een PHP backdoor te installeren.

Deze backdoor was echter niet beschermd, waardoor iedereen toegang tot de server kon krijgen. Eén van de bestanden op de server, genaamd record.doc, zou 300 keer zijn benaderd. Ook dit bestand was van een Flash-exploit voorzien, maar werd op 8 februari door de aanvallers verwijderd.