مجموعه Cisco Talos گفته است که payloadها را به یک عامل ناشناس با نام مستعار "magnat" نسبت داده و خاطرنشان کرد که "این دو دسته در معرض توسعه و بهبود مداوم توسط برنامه‌نویسانشان بوده اند".

اعتقاد بر این است که این حملات در اواخر سال ۲۰۱۸ آغاز شده است و با فعالیت متناوب در اواخر سال ۲۰۱۹ و تا اوایل سال ۲۰۲۰ و سپس به دنبال آن افزایش‌های جدیدی از‌ آوریل ۲۰۲۱ مشاهده شده است. عمدتاً کاربران در کانادا و به دنبال آن ایالات متحده، استرالیا، ایتالیا، اسپانیا و نروژ تحت تأثیر این حملات قرار گرفته‌اند.

یکی از جنبه‌های قابل توجه این نفوذ، استفاده از تبلیغات به عنوان وسیله‌ای برای حمله به افرادی است که به دنبال نرم‌افزار‌های محبوب در موتور‌های جستجو هستند تا لینک‌هایی را برای دانلود نصب‌کننده‌های جعلی به آن‌ها ارائه دهند که یک سارق رمز عبور به نام RedLine Stealer، یک افزونه کروم به نام «MagnatExtension» را ارائه می‌کنند. این افزونه برای ضبط کلید وارد شده و گرفتن اسکرین شات برنامه‌ریزی شده است و یک backdoor مبتنی بر AutoIt که دسترسی از راه دور به دستگاه ایجاد می‌کند را ایجاد می‌نماید.
 
افزونه MagnatExtension که به عنوان افزونه ایمن در مروگروگل کروم ظاهر می‌شود، ویژگی‌های دیگری را نیز دارد که برای مهاجمان کاربردی است. از جمله آن‌ها، توانایی سرقت داده‌های فرم، جمع‌آوری کوکی‌ها و اجرای کد دلخواه جاوا اسکریپت است. داده‌های تله متری تجزیه و تحلیل شده توسط Talos نشان می‌دهد که اولین نمونه از این افزونه مرورگر در آگوست ۲۰۱۸ شناسایی شده است.

سرور command-and-control (C2) این افزونه نیز بسیار قابل توجه است. در حالی که آدرس C2 بسیار پیچیده کد شده است، می‌تواند توسط C2 فعلی با لیستی از دامنه‌های C2 اضافی و جدید به روز شود. اما در صورت شکست، به یک روش جایگزین باز می‌گردد که شامل دریافت یک آدرس C2 جدید از طریق جستجوی توییتر برای هشتگ‌هایی مانند «#aquamamba2019» یا «#ololo2019» است.

سپس نام دامنه از متن توییت همراه با افزودن حرف اول هر کلمه ساخته می‌شود، به این معنی که توییتی با محتوای "Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units" و حاوی هشتگ "#aquamamba2019" ساخته می‌شود، که به "stataready[.]icu ترجمه شده است".

هنگامی که یک سرور C۲ فعال در دسترس قرار می‌گیرد، داده‌ها شامل تاریخچه مرورگر، کوکی‌ها، داده‌های فرم، کلید‌های ورودی و اسکرین‌شات‌ها، جمع‌آوری شده و به شکل یک رشته JSON رمزگذاری‌شده در بادی درخواست HTTP POST، توسط کلیدی که در عملکرد رمزگشایی به صورت سخت کدگذاری گردیده رمزگذاری شده، استخراج می‌شوند. کلید رمزگذاری نیز به نوبه خود با کلید پابلیک سرور رمزگذاری می‌شود.
 
تیاگو پریرا، محقق Cisco Talos گفت: "بر اساس استفاده از سارق‌های رمز عبور و یک افزونه کروم که شبیه به یک تروجان بانکی است، ارزیابی‌های ما نشان می‌دهند که هدف مهاجم به دست آوردن اعتبارنامه‌های کاربران است که احتمالاً برای فروش یا برای استفاده شخصی خود در بهره‌برداری بیشتر و بعدی استفاده می‌شوند".

وی افزود: "انگیزه استقرار یک RDP Backdoor نامشخص است. به احتمال زیاد فروش دسترسی RDP، استفاده از RDP برای کار بر روی ویژگی‌های امنیتی خدمات آنلاین بر اساس آدرس IP یا سایر ابزار‌های نصب شده اندپوینت یا استفاده از RDP برای اقدامات بیشتر جهت بهره‌برداری از سیستم‌هایی که برای مهاجم جالب به نظر برسند، می‌باشند".