此LNK檔案會開啟惡意程式及誘餌PDF檔案，為了迴避偵測，駭客使用.NET程式的混淆工具Confuser處理惡意程式，並將其存放於電腦的啟動資料夾，使得該程式能夠隨著電腦開機執行。

而該惡意程式會從遠端伺服器取得其他作案工具，其中包含經過XOR演算法處理的DLL程式庫，駭客利用.NET的函數功能Assembly.Load，將解密的程式庫載入記憶體內，而不會在磁碟留下痕跡。

接著，DLL檔案將會從駭客控制的伺服器下載C#程式碼，並在受害電腦上編碼，完成後也在記憶體內執行。研究人員在分析的過程，無法取得最終的有效酬載，但根據駭客的程式碼分析，他們推測此有效酬載的最終目的，是為了從受害電腦竊取機敏資料，而能讓攻擊者進行下個階段的惡意活動。

至於攻擊者的身分，研究人員表示無法將這起事故的策略、技術、流程（TTP）與已知的駭客組織進行關聯，但他們推測，很有可能是長期針對臺灣的中國駭客所為。