一旦该恶意程序成功运行，黑客就会对代码进行加密处理，并存放于特定的系统注册表里，这么做的目的，主要是未来再度运行NoopDoor时，电脑就会根据相关数据加载相关配置。

而对于攻击者运行的活动，研究人员表示，他们看到对方通过LSASS、NTDS.dit，以及特定的机码挖掘Windows帐密数据。

再者，黑客也试图取得网域管理员权限，进行横向移动，存取工作站电脑及服务器。研究人员看到对方进行侦察及外泄数据的活动，搜括数据的范围不光本机文件，还包含云端文件共用平台OneDrive、协作平台Teams，以及IIS服务器。