По словам исследователей из Malwarebytes ссылка на поддельный сайт распространялась посредством писем якобы от Федерального управления по информационной безопасности ФРГ. На сайте присутствовала ссылка на ZIP-архив (Intel-AMD-SecurityPatch-11-01bsi.zip), якобы содержащий исправления для уязвимостей. После запуска файла устройство жертвы заражалось загрузчиком Smoke Loader. Исследователи уведомили Comodo и CloudFlare после чего доступ к вредоносному сайту был заблокирован.