U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/. Protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje, a stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj.
Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls.
Do sada su poznate dvije inačice navedene datoteke.
- Prva inačica predstavlja SILENTTRINITY zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi hxxps://176.105.255.59:8089. Zlonamjerni program dohvaća se putem SMB protokola.
- Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese hxxps://posteitaliane.live/owa/mail/drafts.srf.