在駭客架設的網站中，提供了詳細的操作步驟，要使用者依照指示複製PowerShell指令碼，並打開電腦的終端機，點選滑鼠右鍵貼上、執行，使用者為了解決電腦出現的錯誤訊息，很有可能就會照著操作，而不慎在電腦執行駭客的惡意指令碼。

研究人員解析對方提供的PowerShell指令碼，其內容經過Base64編碼處理，一旦執行，就會先下載特定的ZIP壓縮檔到電腦的暫存資料夾，然後使用URL產生POST請求，研究人員推測，這麼做的目的，很可能是用來向C2伺服器回報下載已經完成。

接著，該指令碼解開ZIP檔並執行內含的惡意酬載，完成後又解碼另一組Base64字串，得到另一個URL並發出POST請求，向攻擊者回傳已感染成功的訊息。

值得留意的是，這些駭客也上傳教學影片來試圖散布PowerShell指令碼。研究人員在調查的過程發現，有一支YouTube影片與之有關，其中內含來自機器人的評論，聲稱影片提供的方法確實有效。