Спостерігається розсилання шкідливих електронних листів, що містять у тілі листа стилізоване під ярлик документу pdf зображення з активним посиланням на завантаження із хмарного сховища архіву із шкідливим програмним забезпеченням GuLoader. Під час відпрацювання експлуатується техніка thread injection та завантажується зашифрований модуль із функціоналом NetWire RAT.