Согласно сотруднице Heimdal Security Андре Захариа (Andra Zaharia), в атаках применяется классический метод внедрения скрипта в страницы легитимных web-сайтов для перенаправления трафика на подконтрольные злоумышленникам ресурсы. На данных сайтах размещается набор эксплоитов RIG, который, в свою очередь, используется для заражения системы жертвы вымогательским ПО CrypMIC. Инфицирование происходит путем эксплуатации различных уязвимостей в плагине Adobe Flash Player.
Эксплоит CrypMIC сбрасывается во временную папку под произвольным имененем. Файл запускается с правами текущего пользователя (например, администратора) и сразу же связывается с C&C-сервером через TCP-порт 443.
По данным компании Digital Shadows, в настоящее время RIG остается одним из пяти активных эксплоит-паков на рынке, наряду с Neutrino, Magnitude, Sundown и менее известным Hunter.