
另一台电脑黑客则是前述攻击的一个半月后开始活动,对方利用WMI远程运行命令,并滥用电子书管理软件Calibre主程序运行恶意DLL程序库。而黑客在这台电脑进行名称管道冒充攻击不久,又对第3台电脑下手,通过Cobalt Strike创建工作调度,使用SYSTEM帐号从事攻击行为。
研究人员循线清查是否有其他电脑受害,结果找到另一台黑客设置在开机启动Calibre的电脑,黑客设置了3个伪装成微软及Adobe更新的工作调度,但实际用途是定期与远程的IP位址及Cobalt Strike主机连接。数个月后,黑客进行侦察,从而部署Node.js运行档,目的是运行恶意延伸套件。