接着，这个DLL文件会设置反挂钩（anti-hooking）手法，并且会先进入休眠状态，为期15秒之后，再进行解密、运行下个阶段的攻击，从而接收批量档设置的机码密钥。

值得一提的是，为了回避杀毒软件及EDR系统的侦测，这些黑客设置名为ProcessSignaturePolicy的缓解措施，禁止将未具备微软签章的DLL文件加载处理进程，这也代表非微软签署的资安系统DLL组件有可能因为无法注入正在运行的特定应用进程内存位址，而无法正常运作。但研究人员也指出，许多杀毒业者使用的DLL文件都经过微软签署，其中部署端点防护解决方案还会在调用SetProcessMitigationPolicy之前就注入DLL，根据这样的说法，黑客所采取的做法，有可能锁定尚未具备上述签署机制的资安系统而来。

完成上述的步骤，Prints1m.dll才会读取两个由批量档设置的注册表密钥，并将Shell Code充当恶意程序加载工具，把名为Core-Implant的DLL分配内存位置，并将每个部分加载内存。成功后Core-Implant将管理C2通信，并于受害电脑植入Demodex。为了回避操作系统的驱动程序签章强制（DSE）机制，黑客滥用游戏作弊工具Cheat Engine，并运用其中已签章的驱动程序dbk64.sys操纵内存，而能在Core-Implant运行Shell Code，然后在该驱动程序加入额外功能，使其能够加载Demodex。