Darkhoteliks nimetatud kampaania ohvrite seas on mitme ala ettevõtete pea- ja asedirektoreid ning müügi- ja turunduse tippjuhte, avaldab securelist.

Küberkurjategijad toimetasid märkamatult vähemalt seitsme aasta jooksul.
Korea keeles suhtlevad kurjategijad levitasid jälitamise pahavara kolmel viisil:

* failivahetus- ja partnervõrkude kaudu,
* e-posti sihtrünnakute teel
* mõne Aasia hotelli avaliku WiFi-võrgu vahendusel.

Erilist tähelepanu väärib viimane, kuna selle kaudu sihiti tippjuhte ja kõrgemaid ametnikke, kes ajavad Aasia riikides äri ning kaasavad sealseid investeeringuid.

Sääraste rünnakute mehaanika oli peensusteni läbi mõeldud. Kui ohver registreerus hotelli ja sisestas (kurjategijate poolt lahti muugitud) WiFi võrgu kasutamiseks oma perekonnanime ning toanumbri, pakuti talle automaatselt tuntud tarkvara (Google Toolbar, Adobe Flash või Windows Messenger) värskenduse allalaadimist.

Tavalise tarkvaravärskenduse asemel paigaldas pahaaimamatu inimene oma arvutisse aga "tagaukse", mis aitas kurjategijatel hinnata huvi ohvri vastu ja soovi korral süsteemi keerukamaid jälgimisvahendeid paigaldada.

Tagauks on turvasüsteemidest mööda viiv sala-juurdepääsutee programmile või veebiteenusele. Tagauksi ehitavad programmeerijad tarkvarassse sisse näiteks selleks, et saaks programmi hiljem siluda.

Keerulisemate vahendite seas olid klahvinuhk, Karba troojalane (kogub süsteemi ja selle kaitselahenduse kohta infot) ja moodul, mis varastab Firefoxis, Chrome'is või Internet Exploreris salvestatud salasõnu ning võimaldab juurdepääsu mh Twitteri, Facebooki ja Google'i teenustele.

Soovitav on kasutada usaldusväärset kaitsevara ja peale selle olla reisimise ajal ettevaatlik tarkvaravärskendustega. Parem on tegeleda nendega enne reisi algust.

Selleks, et end reisi ajal sääraste rünnakute eest kaitsta, tuleb ühtlasi kasutada internetiga ühendumisel virtuaalset privaatvõrku ehk VPN-i või vähemasti HTTPS-protokolli.