
Ha a backdoor már üzemelt, akkor kapcsolatba lépett a támadók által létrehozott rosszindulatú Wordpress oldallal, ahonnan megkapta a vezérlő (C&C) szerver IP címét, a megfelelő portszámot, ahonnan további komponenseket töltött le, illetve parancsokat fogadott, vagyis ezzel távolról irányítva teljes mértékben át lehetett venni az uralmat a szerkesztőségi gépek felett. Ilyen vezérlő szerver egyébként tulajdonképpen bármi lehet, mi is számoltunk be korábban olyan érdekesnek, vagy aktuálisan újdonságnak számító technikákról, mint a Twitter posztok, vagy legutóbb például idén márciusban az Evernote accountok segítségével történő botnetes kommunikáció volt éppen műsoron.
A támadók nagy számú magánszemélynek és ügynökségnek küldték szét azokat az e-maileket, akiket egy bizonyos szakmai téma érdekelhetett, és ezt a bizonyos rosszindulatú hivatkozást tartalmazták. A megfelelően kiválasztott csali téma esetünkben az ASEAN (Délkelet-ázsiai Nemzetek Szövetsége) és az USA közötti kereskedelmi kapcsolatokkal kapcsolatos egyezmény tervezet, nyilatkozat volt, amely sikeresen fel is keltette a kiszemelt célpontok érdeklődését, és elérték, hogy letöltsenek és kattintsanak is. Nyilván az is belejátszik, hogy van egyfajta kialakult bizalom a Dropbox irányába, ezért a cégek, vállalatok alaphelyzetben nem teszik tiltólistára a Dropbox, vagy Wordpress alapú oldalak elérését, hiszen sok esetben maguk is aktívan használják ezeket, így egy-egy kártékony oldal esetenként radar alatt maradhat egy ideig. Hasonló helyzetekben, ha már valahol egy éppen folyamatban lévő célzott támadást sikerült leleplezni, az a legjobb módszer, ha a hasonló profilú cégek biztonsági szakemberei felveszik egymással a kapcsolatot, figyelmeztetik egymást az aktuális veszélyre, és a szükséges ellenlépésekre.
Emlékezetes, hogy a támadók 2012. szeptemberében hatoltak be a NYT szerkesztőség gépeire, amit ők viszont sajnálatos módon csak 4 hónappal később, 2013. januárban vettek észre. A támadás időben egybeesett azzal, amikor az újság intenzíven foglalkozott a kínai miniszterelnök, Wen Jiabao rokonainak állítólagos, jelentős anyagi hasznot hozó üzleti visszaéléseivel. A jelek szerint bár a hackerek megszerezték és visszafejtették az összes munkavállaló belső hálózaton használt jelszavát, igazából csak azon néhány újságíró iránt érdeklődtek komolyabban, akik részt vettek a fent említett cikk megírásában, igen nagy valószínűséggel az újságírók forrásait próbálták meg ilymódon kideríteni.