Atakujący zastosowali swoją typową taktykę, czyli posłużyli się zawierającą "tylne drzwi" aplikacją wykorzystywaną przez ofiary. Co istotne, nie był to pierwszy raz, gdy ugrupowanie to wzięło na celownik branżę obronną: wcześniejsza kampania ThreatNeedle została przeprowadzona w podobny sposób w połowie 2020 r.

Co więcej, Lazarus rozwinął również swoje możliwości przeprowadzania ataków na łańcuch dostaw za pomocą uaktualnionego szkodliwego programu BLINDINGCAN zidentyfikowanego przez amerykańską agencję CISA (Cybersecurity and Infrastructure Security Agency). Eksperci wykryli kampanie wymierzone w południowokoreański think-tank oraz producenta rozwiązania do monitorowania zasobów IT.