De aanvallen op de chemische sector die in november werden onthuld gaan nog steeds door, waarbij de cyberspionnen hun slachtoffers zelf van tevoren waarschuwen. De "Nitro-aanvallen", zoals Symantec de operatie noemde, gebruikt met wachtwoord beveiligde 7zip-bestanden. Binnen deze bestanden zit een zichzelf uitpakkend uitvoerbaar programma. Het wachtwoord voor het bestand is aan de e-mail toegevoegd. De bijlagen hebben onder andere als naam "AntiVirus_update_package.7z", "acquisition.7z", "offer.7z" en "update_flashplayer10ax.7z".

Ondanks de onthulling van de Nitro-aanvallen gaan de aanvallers onvermoeid verder, en gebruiken zelfs de waarschuwing van Symantec om bedrijven te infiltreren. De e-mail bevat een tekst die op de waarschuwing van Symantec wijst. De e-mail bevat als bijlage een speciale verwijdertool om het Trojaanse paard van de aanvallers te verwijderen. In werkelijkheid is dit het Trojaanse paard. De bijlage is wederom met een wachtwoord beveiligd. Het wachtwoord is in dit geval "symantec".

"Ondanks de publicatie van de whitepaper, gaat deze groep ongestoord door. Ze gebruiken dezelfde technieken, en zelfs dezelfde hostingprovider voor hun command & control (C&C) servers", zegt Tony Millington van Symantec. Het domein van de aanvallers is inmiddels uitgeschakeld en de betreffende hostingprovider ingelicht.