Атаки осуществляются более 4 лет. В 2014 г. операторы Potao создали вредоносную веб-страницу MNTExpress, имитирующую сайт российского сервиса Pony Express. В марте 2015 г. эксперты ESET обнаружили образцы Potao в ряде стратегических объектов Украины, включая правительство, военные ведомства и одно из информационных агентств. Атаки осуществляются посредством фишинговых сообщений.