Según explica eSentire, los atacantes envían un archivo zip malicioso utilizando el puesto de trabajo que figura en el perfil de LinkedIn del objetivo. Es decir, si eres un Ejecutivo de cuentas sénior, el archivo zip malicioso se llamaría “Ejecutivo de cuentas sénior position”. Si se abre este archivo, la víctima, sin saberlo, inicia la instalación de una puerta trasera denominada more_eggs. Una vez cargada, esta puerta trasera puede descargar otros archivos maliciosos y facilitar el acceso al ordenador de la víctima.