Die Hintermänner weiten ihre bisher auf WordPress-Blogs beschränkte Kampagne auf das Joomla-CMS aus. Speziell präparierte Skripte leiten Besucher von legitimen Joomla-Sites zum Exploit Kit Angler. Das wiederum nutzt Sicherheitslücken in den Rechnern der Besucher für die Installation der Erpressersoftware.
