Fans van Zuid-Koreaanse films en tv-programma's zijn het doelwit van besmette torrents die een backdoor bevatten. Daarvoor waarschuwt antivirusbedrijf ESET. De besmette torrents worden via verschillende torrentsites aangeboden en bevatten naast een videobestand ook een PMA- en LNK-bestand.

Het openen van het videobestand is ongevaarlijk. Vaak is dit bestand in een andere directory verborgen. In plaats daarvan krijgen gebruikers eerst het LNK-bestand te zien, dat zich als het videobestand voordoet. Doordat Windows standaard extensies niet weergeeft en de bestandsnaam overeenkomt met die van het videobestand, kunnen gebruikers denken dat het om een legitiem bestand gaat.

Het openen van het LNK-bestand zorgt ervoor dat de malware wordt uitgevoerd. Om slachtoffers niets te laten vermoeden wordt ook het legitieme videobestand geladen. Volgens de onderzoekers hebben de aanvallers het malafide EXE-bestand opzettelijk naar PMA hernoemd om niet op te vallen. Daarbij hebben ze het PMA-bestand de naam van een codec gegeven.

Eenmaal actief verzamelt de malware allerlei informatie over het systeem, zoals besturingssysteem, aanwezige hardware en geïnstalleerde antivirussoftware. De besmette machines kunnen vervolgens voor ddos-aanvallen worden ingezet, maar zijn ook te gebruiken voor het aanbieden van torrents. Tevens kan de malware aangesloten usb-apparaten infecteren, de firewall-instellingen aanpassen en zichzelf naar publieke mappen van cloudopslagdiensten zoals Dropbox, OneDrive en Google Drive kopiëren. De meeste infecties zijn in Zuid-Korea waargenomen, gevolgd door China en Taiwan.