האקרים השתמשו בנוזקה חדשה בשם GodLoader המנצלת את היכולות של מנוע המשחק הפופולרי Godot כדי להתחמק מזיהוי ולהדביק למעלה מ- 17,000 מערכות מחשוב, תוך שלושה חודשים בלבד. לפי חקירת חברת צ'ק פוינט, השתמשו פושעי הסייבר בנוזקה זו כדי למקד מתקפות סייבר נגד גיימרים בכל הפלטפורמות הגדולות Windows, macOS, Linux, Android ו- iOS. הנוזקה ממנפת את הגמישות של Godot ואת יכולות שפת הסקריפט שלו GDScript כדי להפעיל קוד שרירותי ולעקוף מערכות זיהוי באמצעות מנוע המשחק, על מנת להטמיע סקריפטים זדוניים במערכות המחשוב של הקורבנות.
לאחר טעינתם במערכת המחשוב של הקורבן, מפעילים קבצי הנוזקה קוד זדוני אשר מאפשר להאקרים לגנוב אישורים או להפעיל נוזקות נוספות, כולל כורה ההצפנה XMRig. לפי חברת צ'ק פוינט: "מאז 29 ביוני 2024 מנצלים פושעי סייבר את מנוע Godot כדי להפעיל קוד GDScript המפעיל פקודות זדוניות ומתקין נוזקות. טכניקה זו נותרה בלתי מזוהה על ידי רוב כלי האנטי-וירוס ב- VirusTotal והדביקה בנוזקות כ- 17,000 מחשבים במשך חודשים ספורים."
ל- Godot יש קהילה תוססת וצומחת של מפתחים המעריכים את אופי הקוד הפתוח ואת היכולות החזקות שלו. למעלה מ- 2,700 מפתחים תרמו למנוע המשחקים Godot.
ההאקרים הצליחו להתקין את נוזקת GodLoader דרך Stargazers Ghost Network – נוזקת הפצה כשירות (DaaS) המסווה את פעילותה באמצעות מאגרי GitHub לגיטימיים לכאורה. בין ספטמבר לאוקטובר 2024, הם השתמשו בלמעלה מ- 200 מאגרים הנשלטים על ידי למעלה מ- 225 חשבונות Stargazer Ghost כדי להתקין את הנוזקה במערכות המחשוב של הקורבות, תוך ניצול האמון שלהם בפלטפורמות קוד פתוח ובמאגרי תוכנה לגיטימיים לכאורה.
