Los atacantes enviaron mensajes con un archivo comprimido .RAR adjunto, a direcciones electrónicas pertenecientes a las agencias del gobierno que habían marcado como objetivo. Este mensaje contenía un archivo malicioso, disfrazado de un documento de Word que, al ser ejecutado, instalaba el Xtreme RAT y abría un documento apócrifo con un reporte de noticias acerca de un ataque palestino con misiles.

Este troyano de acceso remoto, cobró notoriedad a finales de octubre, cuando la policía israelí, tuvo que apagar su red de computadoras para limpiar el malware de su sistema.

Como la mayoría de los troyanos de este tipo, Xtreme RAT daba a los atacantes acceso remoto sobre las computadoras infectadas, permitiéndoles transferir todo tipo de archivos a sus servidores.

Después de analizar las muestras de malware utilizadas en el ataque a la policía israelí, una compañía de seguridad noruega descubrió que una serie de ataques anteriores habían tenido lugar desde finales de 2011 y durante este año tanto en diferentes organizaciones israelíes, como en territorio palestino. Sus hallazgos armaron el rompecabezas de una operación de ciberespionaje que duró todo un año.

Sin embargo, de acuerdo a los nuevos datos obtenidos por los investigadores, tal parece que esta campaña criminal es mucho más grande.

Uno de los investigadores publicó en su blog: "Descubrimos dos correos electrónicos enviados desde (una dirección de Gmail) el 8 y 11 de noviembre, que tenían como objetivo primario el Gobierno de Israel". Y agregó que uno de esos mensajes había sido enviado a 294 direcciones de correo electrónico.

La lista de objetivos incluía los dominios "fco.gov.uk" y "mfa.gov.tr", pertenecientes a oficinas gubernamentales en Gran Bretaña y Turquía, así como direcciones de correo institucionales de Eslovenia, Macedonia, Nueva Zelanda y Letonia. Algunas otras organizaciones no gubernamentales como la BBC, también fueron marcadas como objetivos.