Mūķis tiek piegādāts ar mērķētām pikšķerēšanas e-pasta vēstulēm. Lai piesaistītu potenciālo upuru uzmanību, draudu dalībnieki, kas pārstāv Danti, ir izveidojuši e-pasta vēstures vairāku augstu Indijas valdības amatpersonu vārdā. Kad ievainojamība ir izmantota, tiek instalētas Danti sāndurvis, kas pēc tam draudu dalībniekiem nodrošina piekļuvi inficētajam datoram, lai viņi varētu vākt konfidenciālu informāciju.
Danti izcelsme nav zināma, taču pētniekiem ir pamatotas aizdomas, ka šī grupa ir kaut kādā veidā saistīta ar grupām Nettraveler un DragonOK. Savukārt šīs grupas tiek uzskatītas par ķīniešu valodā runājošu hakeru veidojumiem.
Vēl pētnieki ir pamanījuši nezināmas izcelsmes CVE-2015-2545 uzbrukumus dažām organizācijām Taivānā un Taizemē. Šiem uzbrukumiem ir dots iekšējais nosaukums SVCMONDR pēc Trojas zirga nosaukuma, kurš tiek lejupielādēts pēc ievainojamības izmantošanas. Šis Trojas zirgs atšķiras no Danti lietotā, bet tam ir dažas kopīgas iezīmes gan ar Danti, gan ar APT16 — pazīstamu, domājams, ķīniešu izcelsmes, kiberspiegošanas grupu.
«Mēs prognozējam, ka parādīsies vairāk incidentu ar šo mūķi, un turpinām novērot jaunus uzbrukumu viļņus un iespējamo saistību ar citiem uzbrukumiem reģionā. Uzbrukumu viļņi, kas ir veikti, izmantojot tikai vienu ievainojamību, liecina par divām lietām. Pirmkārt, draudu dalībnieki tiecas neieguldīt daudz resursu sarežģītu rīku, piemēram, nulles dienas mūķu, izstrādē, ja pirmās dienas mūķi strādās gandrīz tikpat labi. Otrkārt, mērķa uzņēmumos un valsts iestādēs ir zems ielāpu apgūšanas līmenis. Mēs aicinām uzņēmumus pievērst lielāku uzmanību ielāpu pārvaldībai savā IT infrastruktūrā, lai pasargātu sevi vismaz no zināmām ievainojamībām,» sacīja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā galvenais drošības eksperts Alekss Gostevs.
