而這個檔案解壓縮後，使用者很可能只看到執行檔GlobalProtect64.exe，但研究人員指出，實際上ZIP檔裡含有超過400個檔案，大部分都設為隱藏。若是使用者執行上述執行檔，駭客就會使用DLL側載手法載入第1個WikiLoader元件。

接著，該DLL元件載入其他模組，並解開Shell Code，注入Windows檔案總管的處理程序。

而被注入的程式碼將C2伺服器進行通訊，駭客利用遭駭的WordPress網站充當C2，並使用物聯網裝置常見的通訊協定MQTT連線。

之後，這些被注入的程式碼又被載入Sysinternals公用程式元件，然後從C2伺服下載WikiLoader後門程式，並透過側載的方式執行。但究竟後續駭客藉由WikiLoader在受害電腦植入那些惡意軟體，研究人員表示不清楚。

研究人員提及，攻擊者運用使用者習以為常的錯誤訊息，防止察覺異狀。例如，前述安裝程式並不會真的部署GlobalProtect，而駭客在完成惡意程式載入後，會顯示特定程式庫遺失而無法完成安裝的錯誤訊息，藉此避免使用者起疑。