L'attacco inizia sfruttando la fiducia riposta nelle condivisioni SMB accessibili in modalità Guest. Il fulcro dell'exploitation risiede nella combinazione di Kerberoasting e della forgiatura di un Silver Ticket. Sfruttando il privilegio SeImpersonatePrivilege, viene dimostrata l'efficacia dei moderni exploit di tipo 'Potato' (come GodPotato) per l'impersonificazione dei token di sistema.
