究竟攻击者的动机是什么？研究人员表示仍无法确定，不过对于黑客散布多种恶意程序的情况，他们认为与经济利益有关，这些黑客可能向其他组织提供GootLoader。此外，UNC2565也开发新的横向移动工具GootBot，他们研判对方是为了扩大使用GootLoader的范围。

GootLoader如何用于攻击行动？研究人员指出黑客通常会先入侵网站，并植入含有GootLoader的JavaScript恶意酬载，并使用搜寻引擎优化中毒的手法，锁定想要寻找法律文档范本的企业用户下手。

一旦用户依照指示从网站下载JavaScript文件，电脑就会启动感染链。研究人员指出，上述攻击途径与他们2020年看到的几乎一样，代表黑客认可这种偷渡式下载（Drive-by Download）的入侵手法。

攻击者借由Windows内置的处理进程wscript运行第一阶段的有效酬载，该恶意程序将第二阶段的作案工具存储于磁盘，并设置工作调度运行。

特别的是，虽然对方也是利用wscript启动第二阶段的有效酬载，但他们会将其移转到另一个运行cscript的子处理进程。接着cscript会产生另一个PowerShell处理进程，并解开经过混淆处理的PowerShell脚本，进行C2通信。

到了第三个阶段，GootLoader有效酬载通过PowerShell收集受害电脑的系统信息，包含操作系统版本、正在运行的处理进程、环境变量、所属网域信息，以及磁盘使用情形。

研究人员指出，有别于1.0版及2.0版GootLoader黑客利用PowerShell反射手法加载、运行以.NET打造的DLL恶意程序，新版GootLoader则是利用PowerShell进行侦察，并充当后门程序，以便运行攻击者下达的命令，或是下载其他恶意软件。