A Kaspersky Lab szakértői akkor fedezték fel az esetet, amikor a Naikon, egy szintén az ázsiai-csendes-óceáni térségben tevékenykedő kiberkém-csoportosulás tevékenységét vizsgálták. A szakértők észlelték, hogy a Naikon egyik célpontja felfigyelt a támadási kísérletre egy adathalász e-mailben, amely egy rosszindulatú csatolmányt tartalmazott.

A célpont megkérdőjelezte az e-mail valódiságát a feladónál, és mivel a válasszal elégedetlen volt, nem nyitotta meg a csatolmányt. Nem sokkal később a célpont továbbított az eredeti feladónak egy üzenetet az ő saját vírusával. Ez volt az a lépés, amely elindította a Kaspersky Lab nyomozását, és amely a Hellsing APT csoport megtalálásához vezetett.

Az ellentámadás módszeréből arra lehet következtetni, hogy a Hellsing csoport azonosítani akarta a Naikon csoportot, és információkat akart begyűjteni tőlük.

A Hellsing mélyebb elemzése során a Kaspersky Lab feltárta a nyomvonalát a rosszindulatú csatolmányokat tartalmazó adathalász e-maileknek, amelyeket abból a célból készítettek, hogy kémvírust terjesszenek különböző szervezetek között. Ha az áldozat megnyitja a rosszindulatú csatolmányt, a rendszere egy olyan speciális backdoor programmal fertőződik meg, amely képes fájlok le- és feltöltésére, illetve saját maga frissítésére és eltávolítására. A Kaspersky Lab megfigyelései szerint a Hellsing 20 szervezetet támadott meg.