CnC

駭客集團以當下的新聞事件為題發送惡意郵件，誘導鎖定的目標組織或對象開啟惡意檔案，在受害者電腦上植入名為Lowball的遠端存取工具，Lowball以合法的Dropbox服務充當CnC伺服器，利用Dropbox API與硬編碼存取權杖，具備下載、上傳及執行檔案的能力。一旦受害者端執行Lowball，它就會呼叫Dropbox API以自Dropbox下載各種指令，允許駭客取得受害者電腦上或網路上的相關資訊，確定攻擊目標後再下載Bubblewrap惡意程式。