接著他們執行PowerShell命令，濫用微軟的開發工具Microsoft Build Engine（MSBuild），從遠端SMB伺服器上搜尋專案檔案，藉此在記憶體執行駭客的惡意程式碼，而不會在受害電腦留下做案痕跡。這些惡意程式碼是名為SerialPktdoor的後門程式，功能是能讓對方遠端操控電腦。

此外，攻擊者濫用Windows電腦預設停用的本機管理員帳號Administrator，竄改其密碼並啟用，但為了不讓使用者察覺，他們又更動機碼，讓這個帳號在登入畫面隱藏。

一旦成功入侵，這些駭客就會藉由鍵盤側錄程式xkeylog截取使用者輸入的內容，並透過竊資軟體、PowerShell指令碼挖掘瀏覽器存放的用戶資料。

從去年開始，對方不只濫用MSBuild載入前述後門程式，還會部署Gh0st RAT變種，研究人員看到SilentGh0st、InsidiousGh0st、TranslucentGh0st、EtherealGh0st、FluffyGh0st等多款變種程式。

最終駭客透過curl工具，並利用FTP協定外傳竊得的資料，過程中濫用動態產生的帳密隱匿流量。