Hovedmålet med angrebet var at høste private brugeroplysninger, især browsercookies og autentificeringssessioner. Eksperter bemærkede, at de primære mål var AI-tjenester og reklameplatforme på sociale medier, med særlig vægt på Facebook Ads-konti.Ironisk nok var Cyberhaven, en virksomhed, der tilbyder cybersikkerhedsløsninger, en af de ramte virksomheder. En phishing-mail blev brugt til at kompromittere deres data loss prevention extension. Kl. 20:32 den 24. december blev den ondsindede version af deres udvidelse (24.10.4) gjort tilgængelig. Selvom virksomheden reagerede hurtigt og identificerede problemet næste dag kl. 18:54, fortsatte den ondsindede kode med at fungere indtil kl. 21:50 den 25. december.
Jaime Blasco, en sikkerhedsforsker, bemærker, at ingen bestemt virksomhed var målet for dette angreb. Han fandt den samme ondsindede kode i andre udvidelser, såsom VPN- og AI-værktøjer, mens han gennemførte sin undersøgelse.
Efter hændelsen udgav Cyberhaven en række sikkerhedsretningslinjer for organisationer, der kan være påvirket. Vigtige forholdsregler omfatter nøje kontrol af systemlogfiler for usædvanlig aktivitet og ændring af alle adgangskoder med det samme, hvis de ikke bruger den sofistikerede FIDO2-sikkerhedsstandard til multifaktorautentificering. En opdateret, sikker version af udvidelsen, betegnet 24.10.5, er allerede blevet gjort tilgængelig af virksomheden.