Wie die Malware-Analyse zeigt, bemüht sich der Angreifer zunächst darum, den Computer zu inventarisieren, indem er alle möglichen Informationen sammelt und eine Anwendung installiert, die mehrere RDP-Sessions gleichzeitig ermöglicht. Die Zugänge zu den kompromittierten Computern werden dann gegen Entgelt verkauft.
