2015 közepe óta a BlackEnergy APT csoport már aktívan használja a hálózatban lévő számítógépek megfertőzésére a célzott adathalász e-maileket, amelyek makrókkal ellátott, rosszindulatú Excel-dokumentumokat tartalmaznak. Ez év januárjában a Kaspersky kutatói felfedeztek egy új rosszindulatú dokumentumot, amely a BlackEnergy trójai programmal fertőzi meg a rendszereket. Ellentétben a korábbi támadásoknál használt Excel dokumentumokkal, ez egy Microsoft Word-dokumentum volt. A dokumentum megnyitásakor megjelenik egy párbeszédablak, amely azt ajánlja a felhasználónak, hogy engedélyezze a makrókat a tartalom megtekintése érdekében. A makrók engedélyezése elindítja a BlackEnergy malware-rel való megfertőzést.
Amikor a trójai aktiválódik az áldozat számítógépén, alapvető információkat küld el a fertőzött gépről a parancs és vezérlő (C&C) szerveréhez. A rosszindulatú program által továbbított egyik mező tartalmaz egy karakterláncot, amely az áldozat azonosítójának tűnik. A Kaspersky Lab kutatói által elemzett dokumentum a „301018stb” azonosítót tartalmazta, ahol az „stb” az ukrán STB televíziócsatornára utalhat. Ezt korábban, 2015 októberében a BlackEnergy egyik áldozataként azonosították. A fertőzést követően további rosszindulatú modulok töltődnek le. A használt trójai változattól függően ezek funkciói eltérhetnek egymástól, és a számítógépes kémkedéstől az adatok törléséig terjedhetnek.