Jejich postup však byl podle prvních analýz sofistikovanější.
Pomocí MITM útoku nasadili cinknutý (ale podepsaný) TOR honeypot, na nějž pak přesměrovali TOR komunikaci. Falešný TOR uzel se tvářil, jako že normálně pracuje, ale data z druhé strany tekla přímo k cíli. (Z čehož vyplývá, že pokud cíl nebyl na .onion, tak přesně věděli, co a kam jde.)
