28 декабря компания FireEye опубликовала своем блоге анализ вредоносного ПО, которое использовалось злоумышленниками. Согласно анализу FireEye, злоумышленники использовали Adobe Flash для подготовки динамической памяти на системе жертвы (heap spray) для успешной эксплуатации уязвимости нулевого дня в Microsoft Internet Explorer. Эксплоит был рассчитан на пользователей, у которым в браузере стоит по умолчанию выставлен английский, китайский, японский, корейский или русский язык.
Также злоумышленники использовали файлы куки, чтобы эксплоит срабатывал только 1 раз для конкретного браузера. Судя по наличию метаданных в загружаемой на систему библиотеки, за разработку эксполита ответственны китайские программисты. Сегодня ночью компания Microsoft подтвердила наличие уязвимости в Microsoft Internet Explorer и выпустила бюллетень безопасности. Уязвимость распространяется на Microsoft Internet Explorer 6.x, 7.x и 8.x. В настоящее время есть рабочий эксполит для Metasploit Framework.