L'attaque a été menée lors de la foire de l'expo l'année dernière au Japon. Les pirates ont ensuite repris la correspondance des diplomates avec l'organisation japonaise des ONG, en même temps les exhortant à télécharger des logiciels malveillants. Dans le même temps, ils ont utilisé une méthode connue sous le nom de « phishing de lance ». Il s'agit d'attaques de phishing appariées individuellement destinées à des personnes spécifiques ou à des employés spécifiques.
Les attaquants ont tenté de persuader les victimes d'ouvrir des pièces jointes malveillantes, par exemple au format Word ou cliquez sur des liens, ce qui était censé conduire à l'installation d'applications ou de programmes qui rappellent le marché, par exemple les applications développées par McAfee ou JustSystems. Le courriel envoyé par des criminels fait référence à une interaction antérieure et authentique entre l'Institut diplomatique attaqué et l'organisation japonaise non gouvernementale.
Les cybercriminels ont rejoint le fil de correspondance existant, en utilisant le contexte de la prochaine Expo 2025, qui aura lieu à Osaka, au Japon. Fait intéressant, l'une des personnes âgées n'avait pas accès à Windows, elle a donc redirigé l'e-mail vers d'autres membres de l'organisation, qui ont étendu les activités des espions, car plus de personnes, recevant le courrier avec le commandement, ont ouvert des pièces jointes infectées.
