La campagna di spionaggio è stata condotta sfruttando quattro vulnerabilità 0-day presenti nei dispositivi hardware Apple, iPhone in particolare, che la Mela ha corretto lo scorso mese di giugno quando sono venute a galla le prime informazioni di questa operazione, battezzata con il nome di "Triangulation".
Una volta raggiunto questo stadio dell'attacco, gli attori di minaccia hanno nascosto le tracce di violazione ed eseguito un processo Safari in modalità invisibile, per sfruttare la vulnerabilità CVE-2023-32435 ed eseguire ulteriore codice che consentisse loro di ottenere permessi di root, al fine di installare uno spyware (che i ricercatori hanno chiamato anch'esso Triangulation) con funzionalità complete e capace di trasmettere ai server controllati dagli aggressori le registrazioni del microfono, le foto, i dati di geolocalizzazione e altre informazioni sensibili.