Цей вірус перетворює заражений пристрій в проксі-сервер для перенаправлення трафіку, який використовується для анонімізації хакерських атак, фішингу та інших зловмисних дій.
Небезпечне ПЗ було виявлено у різноманітних програмах, включаючи ті, що призначені для редагування зображень, стиснення та редагування відео, відновлення даних і сканування мережі. Деякі з найбільш поширених інфікованих програм – 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio, Artstudio Pro.
Відрізняючись від легітимного ПЗ, яке зазвичай поширюється у вигляді образів диска, шкідливі версії цих програм завантажуються як PKG-файли, оброблювані спеціальною утилітою Installer в macOS.
Інсталятори PKG здатні виконувати скрипти до та після встановлення додатку. В даному випадку, шкідливі скрипти активуються після встановлення, запускаючи шкідливі файли WindowServer і конфігураційний файл p.plist, маскуючи свою активність під системний процес.
Після активації, троянець створює файли логів і намагається з'єднатися з C2-сервером через сервіс DNS-over-HTTPS (DoH), приховуючи свої DNS-запити. Він встановлює з'єднання з C2, відправляючи свої дані та чекаючи на подальші інструкції.
Хоча конкретні команди, що передаються троянцю, залишаються невідомими, аналіз показав, що програма може створювати TCP або UDP-з'єднання для здійснення проксіювання.
Окрім macOS, було виявлено також декілька варіантів шкідливого ПЗ, призначених для Android та Windows, що підключаються до того ж C2-серверу і виконують функції проксі-троянців, приховано поставляючись разом із зламаним ПЗ.