Атака начинается с присылки по электронной почте документа в формате RTF, якобы содержащего заявление Тибетского молодежного конгресса, но на самом деле использующего уязвимость в Microsoft Office, исправленную еще в апреле 2012-го. С ее помощью он запускает самораспаковывающийся архив с тремя файлами: Nv.exe, NvSmartMax.dll и NvSmartMax.dll.url, а затем исполняет программу Nv.exe, являющуюся неизмененной и подписанной цифровой подписью копией программы Nvidia Smart Maximise Helper Tools. Это помогает обмануть как пользователей, так и некоторые антивирусные средства, отмечают специалисты. Проблема заключается в том, что Nv.exe при работе загружает без проверки динамическую библиотеку NvSmartMax.dll, которую злоумышленники подменили на свою. Библиотека, в свою очередь, запускает известную троянскую программу Plugx-G, дающую посторонним доступ к компьютеру.
Разработчикам любых программ следует учитывать возможность подмены библиотек, напоминают специалисты Sophos.