W większości przypadków oprogramowanie do wydobywania kryptowalut zostało pobrane w ciągu 22 sekund od włamania na konto. Około 10 proc. zhakowanych kont było wykorzystywanych do skanowania publicznie dostępnych zasobów w Internecie, zaś pozostałych użyto do przeprowadzania ataków.
Zespół ds. cyberbezpieczeństwa Google’a zidentyfikowali również wspieraną przez rząd północnokoreański grupę hakerów, którzy udawali rekruterów Samsunga i wysyłali potencjalnym pracownikom załączniki zawierające złośliwe oprogramowanie.