Преступники побуждают жертв открыть электронные письма с вредоносным файлом.
Злоумышленники взламывают маршрутизаторы и меняют настройки DNS.
Злоумышленники скомпрометировали сервер еще в декабре 2017 года, однако отключен он был только недавно.
Ни на одном этапе атаки не используются файлы, которые не были бы системными.
В ходе атак злоумышленникам удалось заразить несколько тысяч устройств.