Bár eddig azt gondolták, hogy a „NetTraveler művelet” nevű globális kiberkémkedési szoftver első mintáit 2005-ben állították össze, egyes jelek arra mutatnak, hogy a rosszindulatú aktivitás már 2004-ben elindult. Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott negyven országban. Idén a Kaspersky Lab emelkedést tapasztalt az ujgurokat és a tibetieket támogatók ellen intézett támadások számában; az incidenseket az új titkosítási sémájú NetTraveler frissített változatával követték el. Vizsgálódásai során a Kaspersky hét parancs és vezérlő (C&C) szervert fedezett fel Hongkongban és egyet az Egyesült Államokban.
A NetTravel mögött álló hackercsoport a támadásokat hagyományosan a kiszemelt ádozatoknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word .doc fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot. A Kaspersky Lab megállapította, hogy ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült. Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat.