ក្រុមអ្នកស្រាវជ្រាវរកឃើញយុទ្ធនាការមេរោគថ្មីបង្កើតឡើងដោយក្រុមហេគឃ័រ APT ដោយប្រើកម្មវិធី NSIS ស្របច្បាប់ដើម្បីវេចខ្ចប់ និងបើកដំណើរការកម្មវិធី Shellcode នៅលើប្រព័ន្ធប្រតិបត្តិការ Windows ។ NSIS (ប្រព័ន្ធតំឡើង Nullsoft Scriptable) គឺជាឧបករណ៍និពន្ធស្គ្រីបតំឡើងកូដពីប្រភពបើកចំហសម្រាប់ប្រព័ន្ធវីនដូ និងត្រូវបានគេប្រើប្រាស់ដើម្បីបង្កើតអ្នកដំឡើងវីនដូ។

ក្រុមអ្នកវាយប្រហារបានបំពានលើ Microsoft Crypto API ដើម្បីឌីគ្រីបឯកសារចុងក្រោយពីកម្មវិធីវេចខ្ចប់ដែលមានឈ្មោះថា “Loncom”  និងមេរោគដែលមានឈ្មោះថា Trojan-Dropper.NSIS.Loncom។  Loncom packer ប្រើប្រាស់កម្មវិធី NSIS ដើម្បីដំណើរការលេខកូដសែលពីឯកសារដែលមានឈ្មោះថា “48510113″ ហើយលេខកូដសែលត្រូវបានភ្ជាប់ទៅក្នុងហាដវែរ និងផ្ទុកទៅក្នុងមេម៉ូរី។ 

Shellcode ប្រើក្បួនដោះស្រាយដើម្បីឌីគ្រីបកូដរបស់វាមួយជំហានម្តងៗ នៅពេលដែលវាឌីគ្រីបប្លុកម្តងហើយម្តងទៀត ក្រោយមក Shellcode ចាប់ផ្តើមផ្ទុកបណ្ណាល័យ(libraries) និងផ្ទុកអាសយដ្ឋានរបស់មុខងារចាំបាច់ ដោយមានជំនួយបច្ចេកទេស APIHashing -256 ប្លុកឈីបដែលមានលេខកូដសែលដូចគ្នា។ អ្នកស្រាវជ្រាវបានវិភាគ និងសង្កេតមើលរចនាសម្ព័ន្ធរបស់អ្នកតម្លើង NSIS និងរកឃើញបន្ទុកចុងក្រោយដែលមានទីតាំងនៅខាងលើលេខកូដសែល។ក្រុមអ្នកស្រាវជ្រាវរកឃើញថាឧបករណ៍ធ្វើយុទ្ធនាការវាយប្រហារ Cobaltដែលក្រុមអ្នកជំនាញអាជីពប្រើ ហើយពេលខ្លះវារងការបំពានពីក្រុមហេគឃ័រ APT ។