這份誘餌文件相當特別的是，內容看起來有些歪斜，而這樣的檔案很有可能是將紙本資料掃描而成，但是否有經過光學字元辨識（OCR）處理？研究人員並未進一步說明。

接著，惡意軟體會下載第2階段的酬載vmcoreinfo，此為酬載就是Disgomoji的其中一個處理程序。

研究人員指出，Disgomoji是UPX加殼的ELF檔案，並濫用Discord充當C2，駭客很可能是透過discord-c2的程式修改而成。值得留意的是，用於存取Discord伺服器的身分驗證憑證及伺服器ID，都寫死在ELF檔案裡。而該惡意軟體一旦與伺服器連線，就會為不同的受害電腦建立專屬的通道，攻擊者可藉此與特定受害者互動。

這款惡意程式比較特別的地方在於，攻擊者透過表情符號（emoji）向惡意程式發送命令，有時候還會使用參數。而惡意程式也會在處理收到的命令時，回傳時鐘的符號進行回應。

研究人員公布駭客運用的9種表情符號，這些包含了執行命令、截取螢幕截圖、取得受害電腦特定檔案、上傳檔案、打包Firefox的設定，以及搜尋特定格式的文件、圖片、壓縮檔案。

一旦受害電腦成功感染惡意程式，對方就會利用Nmap掃描受害組織的網路環境，並透過Chisel和Ligolo建立網路隧道，而在部分情況下，攻擊者還會企圖利用名為Zenity的工具，引誘受害者輸入密碼。

值得留意的是，這些駭客也利用漏洞DirtyPipe（CVE-2022-0847）進行權限提升。