WikiLeaks explica que Angelfire es un "implante" formado por cinco componentes, capaz de cargar y ejecutar códigos en ordenadores que utilizan las versiones XP o Windows 7 del sistema operativo de Microsoft.
El primer componente, llamado 'Solartime', modifica la partición del sector de arranque. Así, cuando Windows carga los controladores en el inicio, también se carga un implante llamado 'Wolfcreek', el cual a su vez ejecuta el 'Angelfire'.
El componente 'Keystone' es la parte del 'Wolfcreek' que ejecuta aplicaciones de usuario maliciosas. Sin embargo, al no estar relacionado con el sistema de archivos, este componente no deja casi ningún rastro en la unidad infectada.
Otro componente, llamado 'BadMFS' consiste en una librería que implementa un sistema de archivos encubierto al final de la última partición activa. Esta librería contiene todos controladores e implantes utilizados por el componente 'Wolfcreek'. Todos sus archivos se encuentran encriptados y ofuscados para evitar ser detectados.
Por último, 'Angelfire' aprovecha el sistema de archivos temporales de Windows ('Windows Temporary Files', en inglés) para su instalación. Así, en lugar de agregar componentes separados al disco, el operador detrás del 'Angelfire' se sirve de archivos temporales para acciones específicas, incluyendo la instalación, carga y eliminación de archivos de este software malicioso.
