Според Trend Micro престъпници използват заразени JPEG файлове, за да обновяват съществуващи заплахи или да инициират нови атаки.
Всъщност, изображението съдържа кодирани конфигурационни файлове, както и изпълними файлове. Първите позволяват на атакуващите да променят настройки, те съдържат също данни за хост имената на компрометираните мрежи и имена на процеси на редица антивирусни продукти.
Изпълнимите файлове, кодирани в изображението, са били или ъпдейти или нов малуер, готов да инфектира целта.
Малуерът принадлежи към семействата SOGOMOT и MIRYAGO, които се ъпдейтват по необичаен начин – чрез зареждане на JPEG файл, който съдържа криптирани конфигурационни и изпълними файлове. Опасните JPEG файлове се хостват на различни уеб сайтове, основно в Азия. Някои от тях са легитимни, което означава, че са жертви на атакуващите, които ги използват за своите цели.