По словам исследователей, если пользователь кликнет на рекламу, чтобы перейти на сайт, распространяющий вредоносную версию Notepad++, он сразу заметит несоответствия: в URL вместо Notepad++ указано vnote, а приложение, предлагаемое для загрузки, является модифицированной версией Notepad- (ответвление Notepad++) от китайского разработчика. Из предлагаемых на сайте версий для Windows, Linux и macOS только версии для Linux и macOS содержат вредоносный код. Фишинговый сайт vnote пытается имитировать официальный сайт. Если пользователь устанавливает вредоносную версию Notepad-, она пытается установить бэкдор, который якобы происходит из программы с открытым исходным кодом Geacon.
