Les pirates auraient créé de faux comptes se faisant passer pour des personnes que les hameçonneurs connaissaient et avec lesquelles ils avaient une relation professionnelle ou personnelle. Les Iraniens ont collecté des informations sur les citoyens à partir des réseaux sociaux, d’Internet et de la correspondance.
Selon les documents de l’enquête, des agents iraniens ont d’abord utilisé le compte LinkedIn du citoyen israélien pour établir un contact avec lui, puis la communication est passée au courrier électronique. À un moment donné, les victimes ont reçu une lettre avec un fichier d’invitation à une conférence, ou l’agent a envoyé un fichier malveillant sous le couvert d’un article ou d’une étude intéressant le sujet.
Dès que la victime a ouvert le fichier, un programme malveillant a été immédiatement installé sur l’ordinateur, ce qui a donné aux Iraniens un accès complet à cet ordinateur.