Das Angebot über eine Beschäftigung mit lukrativen Verdienstmöglichkeiten wird nicht als Geldwäsche beschrieben, sondern als legale Abwicklung von ausländischen Transaktionen eines Antiquitätengeschäfts in Polen. Den Wahrheitsgehalt der Nachricht soll ein Link zur vermeintlichen Webseite des Unternehmens bekräftigen. Die Panda Software Labore haben verschiedene Versionen der E-Mail entdeckt. So fehlt bei einigen Nachrichten der Link zur Webseite. Stattdessen findet der Empfänger in der Nachricht eine E-Mail Adresse, an die er schreiben kann, wenn er weitere Informationen anfordern möchte.
Aufgabe des „Mule“ ist es, angeblich von seinem Auftraggeber erhaltene Einzahlungen auf sein Konto auf ein anderes Konto zu überweisen. Tatsächlich stammt der eingezahlte Betrag jedoch von einem zuvor mittels Phishing ausgespähtem Konto. Auf diese Weise verliert sich die Spur zum kriminellen Hintermann. Für diese Tätigkeit bekommt der Geldwäscher eine Provision. Fliegt der Phishing-Betrug auf, so wird der „Mule“ zur Verantwortung gezogen und muss sowohl das erbeutete Geld, was sich in den Händen des Phishers befindet, an das Opfer zurückzahlen als auch die rechtlichen Konsequenzen tragen. Der „Mule“ dient dem Cyber-Crook also nicht nur als Geldwäscher, sondern auch als Sündenbock.
Daten der PandaLabs zufolge werden für diese Phishing-Attacke zehn verschiedene Internet Domains und sieben Web-Server in Korea, England, Kanada, Belgien und Spanien genutzt.