Eles construíam seus próprios blogs de pesquisa e os preenchiam com análises de vulnerabilidades que haviam sido divulgadas publicamente para parecerem legítimas. Os malfeitores também mantinham contas no Twitter para postar vídeos de suas alegadas façanhas e alcançar o maior número possível de pessoas. Em pelo menos um caso, o Google encontrou uma das contas do Twitter defendendo um vídeo que os malfeitores postaram no YouTube contendo um exploit que se revelou falso.
A equipe TAG do Google disse que os atacantes contataram as vítimas pretendidas, pedindo para colaborar na pesquisa de vulnerabilidade. Além do Twitter, eles também usaram LinkedIn, Telegram, Discord, Keybase e e-mail para chegar aos seus alvos, enviando-lhes um projeto do Microsoft Visual Studio com malware para entrar em seus sistemas. Em alguns casos, os computadores das vítimas foram comprometidos depois de visitar o blog de um malfeitor após seguir um link no Twitter. Ambos os métodos levaram à instalação de uma porta dos fundos nos computadores das vítimas que as conectou a um servidor de comando e controle controlado pelo invasor
Os sistemas das vítimas foram comprometidos durante a execução de navegadores Windows 10 e Chrome totalmente corrigidos e atualizados. A equipe TAG do Google viu apenas os atacantes visando sistemas Windows, até agora, mas ainda não pode confirmar “o mecanismo de comprometimento” e está incentivando os pesquisadores a enviar vulnerabilidades do Chrome para seu programa de recompensa de bug. A equipe também listou todos os sites e contas controlados por atores que identificou como parte da campanha.