हैकर्स ने अलग-अलग भौगोलिक टार्गेटिंग के लिए एक ही इंफ्रास्ट्रक्चर पर अलग सेशन आईडी का इस्तेमाल किया। ताइवान से जुड़े ऑपरेशन के लिए अलग डायरेक्टरी बनाई गई थी। टाइमस्टैम्प से पता चलता है कि यह अभियान कम से कम 8 जून 2026 से चल रहा था ।
हमलावरों ने सरकारों, वित्तीय संस्थानों और टेक कंपनियों को निशाना बनाया:
112.213.124[.]132 पर एक ओपन डायरेक्टरी मिली, जिसमें पेलोड्स, ऑपरेटर स्क्रिप्ट्स, पीड़ितों के फोल्डर और सरलीकृत चीनी में लिखे गए ऑपरेशनल लॉग मौजूद थे Hunt.io का मामला इसलिए अलग है क्योंकि इसमें पूरा फॉरेंसिक रिकॉर्ड बचा है: पीड़ितों का सोर्स कोड, एक्सप्लॉइट स्क्रिप्ट्स, ऑपरेशनल लॉग, और दो AI मॉडल्स के रियल-टाइम में एक साथ काम करने के सबूत । यह नवंबर 2025 के उस मामले से कहीं अधिक ठोस है, जहां सिर्फ Anthropic के API मॉनिटरिंग से पता लगा था और जिस पर स्वतंत्र शोधकर्ताओं ने IoCs न होने की वजह से सवाल उठाए थे
।