Атакующие рассылают жертвам CHM-файл, содержащий файл HTM и исполняемый файл. После открытия справки на экране отображается русскоязычное уведомление UAC (Контроль учетных записей) о запуске "неизвестной программы". Если пользователь согласится, на компьютер будет загружен ZeroT.
Для распространения загрузчика группировка также использует специально сформированные документы Microsoft Word и самораспаковывающиеся RAR-архивы. Значительная часть этих архивов включала исполняемый файл Go.exe, использующий инструмент Event Viewer ("Просмотр событий") для обхода UAC в Windows.
Оказавшись на системе, ZeroT связывается с управляющим сервером и отправляет информацию о зараженной системе. Далее ZeroT загружает троян PlugX либо в виде незашифрованного PE-файла, либо в виде Bitmap (.bmp) файла, использующего стеганографию для сокрытия вредоносного ПО.