根据LNK档的命令，大致可分成两种，其中一种是滥用公用程序forfiles.exe寻找win.ini文件，并启动PowerShell，然后通过公用程序mshta.exe从特定网域搜索下载、运行第二阶段酬载；另一种则是直接运行PowerShell，启动mshta.exe下载有效酬载，但特别的是，攻击者下达命令时，会用到万用符号，但为何要这么做，研究人员没有解释。

但无论通过何种方式进行后续的攻击流程，电脑都会从CDN取得JavaScript恶意程序加载工具（Dropper），研究人员看到对方使用两种混淆手法，其中一种是使用十六进位字符进行处理，另一种则是采用Base64编码。

而这些加载工具最终于受害电脑植入PeakLight，此为PowerShell打造的作案工具，同样黑客也经过混淆处理。其中，有部分的版本会在电脑加载MP4视频做为诱饵，降低受害者的戒心。