Svmuuによると、Elastic Security Labsの開示した情報によれば、脅威行為者はベンチャーキャピタル会社を装い、LinkedInとTelegramを通じて標的を誘導し、悪意あるコードを含むObsidianノートライブラリを開かせた。この攻撃はObsidianのShell Commandsプラグインを悪用し、被害者がノートライブラリを開いた際に、脆弱性を利用することなく悪意あるペイロードを実行することを可能にした。
攻撃で発見されたPHANTOMPULSEは、これまで記録されていなかったWindowsリモートアクセス型トロイの木馬(RAT)であり、イーサリアムのトランザクションデータを介してブロックチェーンC2通信を実現している。macOS向けのペイロードは、難読化されたAppleScript配信ツールを使用し、TelegramチャンネルをバックアップC2として利用している。Elastic Defendは、PHANTOMPULSEの実行前にこの攻撃を検知し阻止した。