Theo đó, khi nạn nhân tải một trong số chương trình trên và cài đặt lên máy, nó sẽ sao chép danh bạ, ảnh và tin nhắn từ thiết bị của người dùng rồi gửi cho các tin tặc Triều Tiên.
Nhóm tấn công tiếp cận với mục tiêu thông qua Facebook, tìm cách dụ dỗ họ cài đặt và mở chương trình độc hại.
Theo McAfee, có sự giống nhau giữa cuộc tấn công này với một trong những vụ tương tự được phát hiện đầu 2018. Một nhóm tấn công của Triều Tiên có tên gọi "Sun Team" được cho là chịu trách nhiệm cho cả hai vụ tấn công. Trong đó, email của nhà phát triển ứng dụng độc hại tương tự địa chỉ quân đội Triều Tiên dùng.
Hãng bảo mật Mỹ đã thông báo sự việc với Google và các ứng dụng độc hại đã bị gỡ khỏi Play Store. McAfee cũng báo cáo cho Cơ quan an ninh và Internet Hàn Quốc. Ước tính trong 2016 đã có 30.000 người Triều Tiên đào tẩu sang Hàn Quốc.