黑客通过电子邮件发送恶意的密码文档，一旦他们打开，他们就会运行“代码”宏，下载内置SunRisingSun代码的第二个阶段，黑客将使用该代码检测并窃取用户的数据。经营Sharpshot，涵盖核能、国防、能源、金融等行业。

        基于McAfee高级威胁研究团队和McAfeeLabs恶意软件研究团队的深入学习，后门的来源。2015年韩国黑客集团使用的Dupzer特洛伊木马程序在风险Sun植入物中找到，有理由相信它是控制这些服务器的Lazarus组，但根本没有直接证据。

        在安全专家检查了这些服务器代码后，发现Shapotter操作的操作时间比原来想象的要长，最远的可以追溯到2017年9月。调查结果显示，许多行业和国家，包括金融服务，以及欧洲、英国和美国的关键基础设施。

        研究表明，这些服务器在恶意程序命令和控制基础设施下运行，使用PHP和ASP网页语言创建网站和编写Web端应用程序，具有部署方便、可扩展性强的特点。服务器后端的许多组件可以帮助黑客攻击目标，每一个组件都扮演着特定的角色，例如植入下载(植入下载器)：托管和备份来自另一个下载的嵌入式代码和命令烦扰器(命令解释器)：通过中间黑客服务器操作日出植入，以帮助隐藏更广泛的命令结构。