Kurban uygulamayı kullanırken ve hatta oturum açmadan önce, GhostChat casus yazılımı arka planda çalışmaya başlar, cihazdaki etkinlikleri sessizce izler ve hassas verileri bir C&C sunucusuna aktarır. İlk veri aktarımının ötesinde, GhostChat aktif casusluk faaliyetlerinde bulunur: Yeni oluşturulan görüntüleri izlemek için bir içerik gözlemcisi kurar ve görüntüler ortaya çıktıkça bunları yükler. Ayrıca her beş dakikada bir yeni belgeleri tarayan periyodik bir görev planlayarak sürekli gözetim ve veri toplama sağlar.
Kampanya, ClickFix tabanlı kötü amaçlı yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da bağlantılı. Bu operasyonlar, sahte web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı cihaz bağlantılarını kullanarak hem masaüstü hem de mobil platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte meşru talimatları izleyerek cihazlarında kötü amaçlı kodu manuel olarak çalıştırmaya yönlendiren bir sosyal mühendislik tekniği.
ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen mobil odaklı bir operasyonda kötü amaçlı bir etki alanı kullanıldı. Kurbanlar, Android cihazlarını veya iPhone'larını WhatsApp Web veya Desktop'a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı'nın bir kanalı gibi görünen sözde bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve kişilerine erişim sağlamasına, hesap sahipleriyle aynı düzeyde görünürlük ve kontrol elde etmesine ve böylece özel iletişimlerini etkili bir şekilde tehlikeye atmasına olanak tanır.