Tin tặc đã dựa vào việc sử dụng trojan truy cập từ xa để tiến hành các hoạt động gián điệp mạng, qua hình thức gửi email độc hại. Trong hầu hết các trường hợp, những email này có đính kèm tài liệu PDF chứa liên kết mà người dùng cần phải nhấp vào. Các tệp đã tải xuống là các tệp lưu trữ RAR thông thường và có tệp thực thi bên trong. Các tệp này được lưu trữ trong các dịch vụ lưu trữ tệp hợp pháp như OneDrive hoặc MediaFire. Nội dung của email lừa đảo có thể chỉ là thông báo để thực hiện bài test COVID-19, mời dự họp phiên tòa, thông báo nộp phạt giao thông hoặc liên quan đến việc đóng băng tài khoản ngân hàng của người dùng.

Payload được sử dụng trong Chiến dịch Spalax là trojan truy cập từ xa, cung cấp một số khả năng không chỉ để điều khiển từ xa mà còn để theo dõi các hoạt động của người dùng như: ghi lại thao tác bàn phím, chụp ảnh màn hình, chiếm quyền điều khiển clipboard, truy cập tệp, có khả năng tải xuống và thực thi phần mềm độc hại khác.

“ESET đã quan sát thấy có ít nhất 24 địa chỉ IP khác nhau được sử dụng trong khoảng thời gian nửa cuối năm 2020. Đây có thể là những thiết bị bị xâm nhập hoạt động như proxy cho các máy chủ C&C. Cùng với việc sử dụng các dịch vụ DNS động, cơ sở hạ tầng của chúng luôn bất động", Matías Porolli, một nhà nghiên cứu của ESET đã điều tra Chiến dịch Spalax cho biết.

Các nhà nghiên cứu cũng tìm ra ít nhất 70 tên miền hoạt động vào nửa cuối năm 2020 và chiến dịch thường xuyên đăng ký tên miền mới.

Các cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu tại Colombia đã được mở rộng kể từ năm 2019. Cho tới nay đã có sự thay đổi từ một chiến dịch với một số ít máy chủ C&C và tên miền thành một chiến dịch có cơ sở hạ tầng rất lớn và thay đổi nhanh chóng với hàng trăm tên miền được sử dụng.