Teknik Detaylar
URL Moniker aracılığıyla uzak HTA (HTML Application) dosyası çekilip Microsoft Script Host tarafından doğrudan yürütülür.
- RTF belge e-posta ekiyle gönderilir
- OLE nesnesi uzak URL'yi çeker
- HTA dosyası JavaScript/VBScript olarak çalışır
- Payload (NjRAT) indirilip kurulur
Orta Doğu, MENA ve Güney Asya kampanyalarında sahte hükümet belgeleri ile kullanıldı.