Im zweiten Schritt wurden E-Mail-Adressen bei einer zweiten Rüstungsfirma ausgespäht. Die Besitzer erhielten Mails mit der Nachricht, dass ihr CEO verhaftet worden sei. Ein Link, der angeblich zur vollständigen Meldung führen sollte, verwies auf die Landing-Page beim ersten Unternehmen. Wurde er geklickt, zwang ein Java-Script auf der manipulierten Website den Browser zum Laden verschiedener Malware und infizierte so den jeweiligen Rechner. Auch hier hatten die Kriminellen klug vorgebaut: Das Script war für verschiedene Browser ausgelegt.
Weitere Informationen zu der zweistufigen Attacke finden sich unter http://www.symantec.com/....