Il worm, scritto in Golang, usa exploit noti e tecniche di password-spraying per trovare nuovi host in cui diffondersi e per infettarli con il cryptominer.
Gli esperti di cyber security di Cylance: alcuni contengono codice associato al CPU miner XMRig Monero. Altri, Metasploit. Un loader usa la steganografia per decodificare-eseguire il file PE.