تتضمن الهجمات استخدام برامج ضارة مختلفة مثل ERMAC و Erbium و Aurora و Laplas.
وقالت شركة الأمن السيبراني الهولندية: "أسفرت هذه الحملة عن سقوط آلاف الضحايا"، مضيفة أن "Erbium Stealer نجح في إخراج البيانات من أكثر من 1300 ضحية".
تبدأ عدوى ERMAC مع موقع ويب احتيالي يدعي أنه يقدم برنامج ترخيص Wi-Fi لنظامي التشغيل Android و Windows، والذي يأتي، عند تثبيته، مزودًا بميزات لسرقة العبارات الأولية من محافظ التشفير والبيانات الحساسة الأخرى.
قالت شركة ThreatFabric إنها عثرت أيضًا على عدد من التطبيقات الضارة التي كانت عبارة عن إصدارات أحصنة طروادة من تطبيقات شرعية مثل Instagram، حيث يستخدمها المشغلون كقطرات لتوصيل الحمولة المبهمة.
يقال إن التطبيقات الضارة، التي يطلق عليها اسم Zombinder، قد تم تطويرها باستخدام خدمة ربط APK تم الإعلان عنها على الويب المظلم من قبل ممثل تهديد معروف منذ مارس 2022.