Los investigadores del AhnLab Security Intelligence Center (ASEC) han revelado que el plugin "mimeTools.dll", muy utilizado, fue modificado para llevar a cabo el ataque. Cuando se inicia Notepad++.exe, se carga automáticamente el archivo "mimeTools.dll", lo que desencadena la activación del código malicioso incrustado, sin ninguna otra acción del usuario. La investigación de ASEC destacó un archivo llamado "certificate.pem" dentro del paquete alterado como el contenedor del código shell malicioso.