Een beveiligingslek in Internet Explorer 10 en 11 dat Microsoft in april van dit jaar patchte wordt inmiddels actief aangevallen. Via de kwetsbaarheid kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is voldoende. Er is geen verdere interactie van de gebruiker vereist.

Antivirusbedrijf Trend Micro ontdekte op 9 juli een aanval waarbij de kwetsbaarheid werd gebruikt. Het was de eerste keer dat een exploit voor dit beveiligingslek in het wild is ontdekt. De aanvallers maakten gebruik van een "watering hole" aanval. Bij dergelijke aanvallen compromitteren de aanvallers websites die potentiële doelwitten uit zichzelf bezoeken en voorzien die van exploits. Om welke website het precies ging laat Trend Micro niet weten.

Zodra de aanval via het IE-lek succesvol is wordt er een malware-downloader uitgevoerd. Dit programma maakt gebruik van twee kwetsbaarheden in de Windows-kernel om de uiteindelijke malware met kernelrechten te kunnen installeren. De twee beveiligingslekken werden afgelopen maart en april door Microsoft gepatcht. Eenmaal actief op het systeem maakt de malware gebruik van de zakelijke berichtendienst Slack als communicatiemiddel. De aanvallers kunnen via Slack allerlei commando's op het besmette systeem uitvoeren.