Den ukrainischen Bezug stellten die Angreifer über zwei Köder her: Sie fälschten Dokumente, die sich als Anfragen der Hilfsorganisation Come Back Alive ausgaben, die die ukrainischen Streitkräfte unterstützt. Zusätzlich verwendeten sie Bilder, die mit der Verifizierung von Starlink-Satelliteninternet-Terminals zu tun haben. Die Ukraine hatte Anfang Februar ein Verifizierungssystem für Starlink-Terminals eingeführt, nachdem Behörden bestätigt hatten, dass russische Truppen die Technik in Angriffsdrohnen verbauten.

Wird die schädliche Datei geöffnet, läuft sie über den Browser Microsoft Edge. Dadurch erhalten die Angreifer Zugriff auf das Dateisystem des Opfers und können Audio über das Mikrofon, Video über die Kamera sowie Aufzeichnungen des Bildschirms erfassen. Nach Einschätzung der Forscher setzen die Angreifer möglicherweise gezielt auf Webbrowser, um Schadcode zu verteilen: Browser verfügen häufig über legitimen Zugriff auf sensible Gerätefunktionen wie Kamera, Mikrofon und Bildschirmaufnahme, was schädliche Aktivität schwerer erkennbar macht. Zudem stufen Sicherheitswerkzeuge Browser nur selten als verdächtig ein.

Lab52 zufolge befindet sich die Spyware noch in einem frühen Entwicklungsstadium, was darauf hindeutet, dass die Angreifer mit neuen Methoden zur Umgehung von Schutzmechanismen experimentieren. Die Forscher identifizierten zwei Versionen der Schadsoftware, die sich vor allem in den eingesetzten Ködern unterschieden.

Das ukrainische Computer-Notfallteam CERT-UA hatte zuvor über eine separate Operation der Gruppe berichtet, die sich Anfang des Jahres gegen die Streitkräfte des Landes richtete. Beide Kampagnen stützten sich laut den Forschern auf ähnliche Techniken, darunter Köder mit Bezug zu Hilfsorganisationen und das Ablegen schädlicher Komponenten auf öffentlichen Diensten zum Teilen von Texten.

Microsoft hatte zuvor gemeldet, dass die Gruppe erfolgreich Organisationen in mehreren Sektoren der Ukraine kompromittiert habe, darunter Bildung, Verkehr und Verteidigung. Sicherheitsforscher verwiesen außerdem auf Überschneidungen zwischen den Taktiken von Laundry Bear und jenen des russischen militärischen Nachrichtendienst-Akteurs APT28, auch bekannt als Fancy Bear. Analysten gehen jedoch in der Regel davon aus, dass es sich um getrennte Akteure handelt.