黑客通过电子邮件发送恶意Word文档，一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun，黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot，所涉及到的行业包括核能、防御、能源、金融等。

根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究，发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码，因此有理由相信操纵这些服务器的就是Lazarus Group，但是目前始终没有直接证据。

在安全专家对这些服务器代码进行检查之后，发现Operation Sharpshooter的运营时间比最初认为的还要长，最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多，包括金融服务，以及欧洲，英国和美国的关键基础设施。

研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作，使用PHP和ASP网页语言创建和编写网页端应用程序，使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击，每个组件都扮演特定的角色，例如植入下载器（implant downloader）：从另一个下载器托管和备份植入代码和命令注释器（command interpreter）：通过中间黑 *** 务器操作Rising Sun植入物，以帮助隐藏更广泛的命令结构。

尽管有证据表明Lazarus集团，但日志文件中的证据显示据称来自纳米比亚的一批IP地址，研究人员无法解释。