Первая часть отчета была опубликована Минюстом США еще 2 августа. В нем указывалось, что письма от лица Национального совета экзаменаторов, содержащие вредоносный код, активация которого приводила к загрузке трояна LookBack, получили только три компании. Однако позднее выяснилось, что атака носила более масштабный характер.
Когда первые атаки не принесли каких-либо результатов, хакеры начали рассылать письма от лица Global Energy Certification (GEC). На этот раз письма содержали как безопасные файлы, так и документы с вредоносным кодом. Жертве, открывшей такой документ, предлагалось включить макрос, после его активации VBA-скрипт производил загрузку трояна LookBack, который через прокси отправлял на удаленный сервер всю информацию о зараженной системе.
