在完成上述作業後，駭客便會建立新的VBS指令碼，下載另一個用來側錄鍵盤輸入的內容、收集剪貼簿資訊的PowerShell指令碼，當這個指令碼執行這兩種資料的收集後，便會傳送給攻擊者。

而對於這些駭客的攻擊行動，JPCERT/CC也引用5月初資安業者AhnLab揭露的資安事故，認為對方也有可能會利用CHM格式的惡意程式來對日本的企業、組織發動攻擊。