Группа пытается с помощью целевых и фишинговых атак получить доступ к компьютерным системам различных военных и государственных организаций, оборонных компаний и средств массовой информации.

XAgent может записывать звук с микрофона смартфона. Она собирает текстовые сообщения, списки контактов, фотографии, данные геолокации и отправляет их через Интернет на сервер злоумышленников. На устройствах с iOS 7 программа может скрывать себя из списка задач. На устройствах с iOS 8 она не скрывается и при перезагрузке пользователю выдается запрос на запуск программы вручную. По-видимому, рассуждают в Trend Micro, программа была разработана до выхода iOS 8.

Исследователям не удалось выяснить, как именно XAgent проникает на устройства. Одним из методов, считают они, может быть стандартная установка программы из сторонних источников после перехода по ссылке, присланной злоумышлениками или отправленной с уже зараженного телефона абоненту из списка контактов.