Los expertos en virus de Sophos hicieron un descubrimiento sorprendente en su análisis de un ciberataque dirigido. Un documento RTF (específicamente modificado) toma ventaja de Word para ejecutar una herramienta de los controladores de la tarjeta gráfica de NVIDIA en la computadora de la víctima. El archivo ejecutable, llamado nv.exe, está firmado digitalmente y, de hecho, es el archivo original sin ningún cambio.

La razón por la que este método fue descubierto después de la librería NvSmartMax.dll, la cual se copió tanto en documento de Word como en archivos de tipo .exe en las computadoras es que: la librería se alojó en el actual código malicioso que establece una puerta trasera permanente. Las funciones maliciosas en la librería fueron ejecutadas por el archivo nv.exe firmado por NVIDIA.

Los atacantes toman ventaja del hecho de que los archivos ejecutables primero buscan las librerías en su propio folder. En este caso, nv.exe intenta ejecutar funciones de su DDL pero, en su lugar, encuentra y usa primero una herramienta conocida como gemelo malvado. Los atacantes emplean el binario firmado como desviación para ayudar a su código malicioso a evadir cualquier software antivirus que pueda ser instalado.

El documento de modificado de Word consiste en una sentencia del Congreso de la Juventud Tibetana (del inglés, Tibetan Youth Congress), una organización no gubernamental que trabaja para la independencia del Tibet, lo que sugiere que este ciberataque fue dirigido una vez más hacia los grupos pro-Tibet.