Các chuyên gia đã chứng kiến những kỹ thuật này trong hàng loạt các cuộc tấn công mạng được nhà nước bảo trợ nhằm vào những nước châu Á . Mã độc được dùng trong cộc tấn công này là NanoCore ( hay còn có tên khác là Nancrat ) , là loại RAT đầu tiên bị phát hiện vào mùa Xuân 2014 .

Trong chiến dịch này , tin tặc phát tán file .EXE và khi chạy nó sẽ lấy ra file EXE thứ hai . Chỉ có file .EXE đầu tiên được lưu trữ trên đĩa thì không chứa những hành động độc hại , trong khi đó file EXE thứ hai được phun vào bộ nhớ hệ thống với sự hỗ trợ của DLL mã hóa và một loại file PNG .

Theo SentinelOne , bởi vì file EXE thứ hai không bao giờ xuất hiện trên ổ đĩa nên những giải pháp chống Virus truyền thống không bao giờ biết được cách hành xử độc hại của file này . Chỉ có những công cụ bảo vệ mà quét bộ nhớ của hệ điều hành mới có thể nhận dạng được file EXE thứ hai này .

Vai trò của những file PNG được dùng để lưu trữ dữ liệu cấu hình cho chế độ hoạt động của RAT . Tất cả những hình ảnh là một mớ điểm ảnh ngẫu nhiên hỗn độn , nhưng khi file EXE thứ hai đọc nội dung của nó , chúng sẽ được lắp ráp thành những thành phần của RAT và những thiết lập cấu hình của nó .