A campanha está em andamento desde setembro de 2022, e resultou no comprometimento de pelo menos 10.000 sites, muitos pertencentes a pequenas empresas e alguns operados por grandes corporações.

Em muitos casos, os invasores conseguiram obter credenciais de FTP geradas automaticamente e as usaram para sequestrar os sites das vítimas para redirecionar os visitantes para conteúdo adulto.

Em alguns casos, o código JavaScript foi injetado diretamente em arquivos existentes no servidor comprometido, provavelmente via acesso FTP, o que exclui a possibilidade de malvertising.

O código de redirecionamento JavaScript verifica condições específicas antes de redirecionar o visitante para o site de destino, incluindo um valor de probabilidade, um cookie definido na máquina da vítima, se o visitante é um rastreador e se está usando Android ou não.

Segundo os pesquisadores, o objetivo da campanha, pode ser fraude de anúncios ou manipulação de SEO, mas também é possível que os invasores estejam simplesmente procurando aumentar o tráfego para os sites de destino.