然而若是使用者依照指示點選開啟，這個按鈕實際上是超連結物件，作用是從嵌入試算表的drawing.xml.rels檔案讀取URL，從而向Samba（或SMB）檔案共享資料夾取得VBS指令碼。但除了VBS指令碼，他們也看到駭客使用JavaScript檔案的情況。

研究人員分析VBS指令碼，當中混雜大量印表機驅動程式相關的垃圾程式碼，拆解後得到請求、執行下一階段攻擊的PowerShell指令碼。而對於JavaScript檔案的部分，對方則是使用類似的功能函數，來達到相同的目的。

這個PowerShell指令碼的用途，主要是下載3個檔案，用來啟動以AutoHotKey打造的DarkGate。但在部分的事故當中，對方運用了少見的迴避偵測手法。在其中一起事故裡，PowerShell指令碼會檢查電腦是否存在特定的資料夾，來判斷有無安裝卡巴斯基防毒軟體，一旦確認電腦部署該廠牌防毒，就會下載正牌的AutoHotKey程式來迴避偵測。

不過，假如電腦並未搭配此廠牌的防毒軟體，攻擊流程就會繼續往下進行。PowerShell指令碼會下載代表16位元程式碼的ASCII文字，並儲存結果為BIN檔案，接著利用certutil.exe將其解碼，還原成AutoHotKey.exe。

值得一提的是，研究人員也在DarkGate套件當中的AutoHotKey指令碼、AutoIt3指令碼裡，看到類似的迴避偵測手法。

最終駭客濫用公用程式AutoHotKey.exe啟動惡意指令碼script.ahk，對於經過混淆處理的DarkGate檔案test.txt進行還原，並將其Shell Code載入記憶體內執行。

但為了防範研究人員透過沙箱或虛擬環境執行，駭客在DarkGate加入多種機制。首先，該惡意程式會偵測處理器資訊的機制，再者，則是透過偵測特定的資料夾路徑，確認電腦執行的防毒軟體，進而避免觸發相關偵測機制。

再者，攻擊者會掃描電腦正在執行的處理程序，確認是否存在惡意程式分析工具、逆向工具、除錯工具，以及與虛擬化環境相關的公用程式。完成後他們會將上述偵察結果併入DarkGate的組態配置當中，從而調整惡意程式的運作方式，以便更加隱密地埋伏在受害電腦。

而對於隱匿攻擊流量的部分，研究人員指出，對方雖然使用未加密的HTTP請求進行C2通訊，但資料經過Base64編碼處理。經過拆解、還原流量內容，他們察覺有資料透過這種手法外傳的跡象。此外，攻擊者也有可能藉由DarkGate散布其他惡意軟體。