De Syrische regering gebruikt gerichte aanvallen om de oppositie in het land met spyware te infecteren en zo te bespioneren. Aanhangers van dictator Bashar al-Assad zouden via de malware de identiteit van oppositieleden stelen, om ze vervolgens in online chatgesprekken te imiteren. Hebben de aanhangers het vertrouwen van oppositieleden gewonnen, dan worden er geïnfecteerde bestanden verstuurd om zo ook deze oppositieleden te besmetten.

Eenmaal actief stuurt de malware informatie naar de server van een Syrisch telecombedrijf dat in handen van de staat is. De malware wordt onder andere als een Facebook beveiligingsupdate aangeboden.

Wachtwoord
Volgens de Syrische software engineer Dlshad Othman gaat het om complexe malware. Daarnaast zouden activisten worden opgepakt en gedwongen om hun wachtwoorden aan de Syrische autoriteiten af te staan. Dit is echter onbevestigd, aldus CNN.

Een van de oppositieleden laat in een interview weten dat ze na het openen van de malware niet meer bij haar Facebook en e-mailaccounts kon. Aangezien de malware lokaal opereert, kan het dagen duren voordat die door anti-virusbedrijven wordt opgemerkt en die een signature kunnen ontwikkelen om gebruikers te beschermen.