Den Forschern zufolge wird ein Benutzer, der auf eine Anzeige klickt, um zu einer Website zu gelangen, die eine bösartige Version von Notepad++ verbreitet, sofort Ungereimtheiten bemerken: Die URL enthält vnote anstelle von Notepad++, und die zum Download angebotene Anwendung ist eine modifizierte Version von Notepad- (ein Zweig von Notepad++) von einem chinesischen Entwickler. Von den auf der Website angebotenen Windows-, Linux- und macOS-Versionen enthalten nur die Linux- und macOS-Versionen bösartigen Code. Die Phishing-Website von vnote versucht, die offizielle Website zu imitieren. Wenn ein Benutzer die bösartige Version von Notepad- installiert, versucht sie, eine Hintertür zu installieren, die angeblich von dem Open-Source-Programm Geacon stammt.
