这起攻击行动的起点，主要是黑客通过电子邮件寄送恶意链接，一旦收信人点击，就会被带往攻击者控制的网域，对方引诱他们点击下载文档文件的链接。

若是用户照做，对方就会将他们带往含有所属公司名称的网域，引诱输入微软帐密数据，并从中进行侧录。

另一起名为Eqooqp的攻击行动，主要是针对政府机关、金融保险、制造业而来，但也有其他企业受害的情形。对方租用名为NakedPages的网钓工具包，从事对手中间人攻击（AiTM），研究人员推测攻击者的身分是DEV-1101（或Storm-1101）。

黑客先是寄送含有HTML附件的电子邮件，此附件文件内含JavaScript代码，一旦收信人打开附件，电脑就会发出JSON格式的HTTP GET请求，对方便会引导受害者到恶意网站，借由AiTM手法挟持他们的微软帐号。

最后一种攻击行动Boomer，攻击者主要的目标是政府机关及医疗照护机构，研究人员指出，对方采取相当先进的回避手段，例如：采用自制的HTTP标头、追踪cookie、侦测机器人、加密代码，并且通过服务器产生动态的钓鱼网页，并冒充微软及Adobe来窃取相关帐号数据。

这些黑客使用的钓鱼网页相当特别，黑客似乎套用相同的范本产生，且具备用户预期的品牌商标，但没有拼字或文法上的错误，而很容易让人信以为真，依照指示输入帐密数据。

值得留意的是，当用户试图输入数据进行交互，黑客的网页应用程序会打开动态对话框。对方在用户输入相关帐号数据送出，会显示登录失败的错误消息，并在第3次宣称帐号遭到锁定，并将他们重新导向Google网站。