ThiefQuest lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại hãng bảo mật SentinelOne sau khi tham gia điều tra đầy đủ về phần mềm độc hại. Công ty lần đầu tiên tin rằng phần mềm độc hại đang thiếu sự tinh tế nhất định khi điều tra tin nhắn đòi tiền chuộc cảnh báo nạn nhân ThiefQuest về dữ liệu của họ.
SentinelOne phát hiện ThiefQuest (ban đầu được gọi là EvilQuest) đã sử dụng mã hóa tùy chỉnh, và mã của nó cho thấy nó không liên quan đến các phương thức mã hóa khóa công khai thường được sử dụng cho các cuộc tấn công như vậy.
Cũng theo các nhà nghiên cứu, ThiefQuest truy tìm thư mục /Users của hệ thống để nhắm vào các mục .doc, .pdf và .jpg cùng nhiều tập tin khác. Một khi tìm thấy, các tập tin này được mã hóa bởi một công cụ mã hóa đơn giản, khi tạo một tập tin được mã hóa. Với cách thức mã hóa đơn giản, SentinelOne đã tạo và phát hành một bộ giải mã mà mọi người có thể tải xuống miễn phí.