Verschillende organisaties in Europa en het Midden-Oosten zijn het doelwit van een gerichte aanval geworden waarbij kwaadaardige snelkoppelingen zijn ingezet. Het gaat om individuen op openbare universiteiten, hotels, oliebedrijven en overheidsinstanties. De e-mails zijn van een Arabische tekst voorzien en zouden van Sheikh Adnan al-Aroor afkomstig zijn. Hij speelt een rol in de Syrische oppositie.

De e-mails hebben als bijlage een ZIP-bestand, dat weer een .lnk-bestand (snelkoppeling) bevat. De snelkoppeling is in werkelijkheid een downloader die naar een HTML-bestand op een kwaadaardige website wijst. Het HTML-bestand bestaat uit een combinatie van Visual Basic script en een ingebed uitvoerbaar bestand.

Rookgordijn
Het script kopieert het uitvoerbare bestand op de computer en voert die uit. Vervolgens wordt het register aangepast zodat de malware bij elke systeemstart wordt geladen. Daarnaast wordt een Word-bestand geopend met een bericht van Sheikh Adnan al-Aroor. Volgens Symantec is dit een rookgordijn om het doelwit niets te laten vermoeden.

In werkelijkheid is de gebruiker nu met de Xtreme RAT geïnfecteerd. Een populaire Remote Administration Tool (RAT) waarmee aanvallers volledige controle over de computer hebben en allerlei gegevens kunnen stelen. In dit geval wordt er verbinding gemaakt met het domein tn5.linkpc.net via poort 82.