接著，載入工具在特定檔案路徑建立名為cvtres.exe的處理程序，並將下一階段的有效酬載以處理程序注入的手法，載入記憶體並啟動新的處理程序，執行名為PureCrypter的惡意程式載入工具。

這個惡意程式載入工具連線至C2伺服器，並將受害電腦進行註冊，從而下載包含XMRig在內的最終有效酬載。

研究人員指出，PureCrypter不僅能隱藏自身，並配置在系統啟動或使用者登入電腦的時候自動執行，並能建立隱藏排程執行PowerShell命令，從而將特定檔案列為防毒軟體Microsoft Defender的白名單。值得一提的是，為了防範研究人員逆向工程，駭客對於所有的有效酬載，皆透過.NET程式碼保護軟體.NET Reactor進行處理。