Włamywacze najpierw wysyłali maile ze złośliwym oprogramowaniem w załącznikach. Celem przestępców było wyciągnięcie informacji na temat planów ewentualnej interwencji koalicji państw zachodnich w Syrii.
Amerykańska firma FireEye zajmująca się bezpieczeństwem w sieci nie podała o ministerstwa jakich krajów chodzi, ale ujawniła, że zaatakowanych zostało dziewięć komputerów osób biorących udział w rozmowach grupy G20, we wrześniu w Sankt Petersburgu. Komputery zostały zaatakowane w sierpniu w trakcie przygotowań do szczytu państw G20 (w którym Chińczycy brali udział).
Specjaliści z firmy FireEye przez tydzień monitorowali jeden z 23 serwerów używanych przez hakerów. Grupa przestępców została nazwana Ke3chang od nazwy jednego z plików kodu, jakim się posługiwali. Działanie oprogramowania było stale obserwowane, ale żaden z plików nie został skradziony.
— Na tym etapie był to jedynie rekonesans w sieci — twierdzi Narottama Villeneuve z firmy FireEye.
Grupa Ke3chang to nie nowicjusze. Ich aktywność znana jest już od 2010 roku. Dotychczas hakerzy instalowali złośliwe oprogramowanie w komputerach firm lotniczych, energetycznych ale także zajmujących się nowymi technologiami. W 2012 roku grupa zaatakowała komputery obsługujące Igrzyska Olimpijskie w Londynie, a rok wcześniej rozsyłała e-maile rzekomo ze zdjęciami rozebranej Carli Bruni, żony ówczesnego prezydenta Francji.
