Листи мають вкладення у вигляді XLS-документу, що містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”. 

Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.

Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.

Активність асоціюють із діяльністю групи UAC-0056, яка вже була причетна до кібератак на Україну у квітні та березні.