根据逆向工程的结果进行分析，黑客通过钓鱼邮件启动整个感染链，一旦用户点击其中的URL，就会下载对方伪装成PDF文件的恶意程序下载工具，此运行档搭配合法的证书签章，并采用两种手法回避沙箱的侦测。

其中一种是比对经过散列处理的名称，以便确认源文件名；另一种则是检查特定的机码，确认是否有超过100项最近打开过的文件，而这么做的目的，就是确认受害电脑是否为沙箱环境。

再者，这个恶意程序下载工具，同时利用窗口消息为基础的混淆手法，将恶意代码区分为多个区块。此外，黑客也将C2网域、动态解析的API功能函数进行加密处理，防堵静态侦测机制。

一旦此恶意程序下载工具运行，就会从C2网域尝试取得PDF文件及SnipBot有效酬载。此恶意程序的主程序能让攻击者于受害电脑运行命令，或是上传及下载文件的功能，再者，攻击者也能从服务器下载相关附加模块，以便运行进一步的活动。

实际上，黑客如何运用SnipBot？在其中一起攻击行动里，他们试图收集受害组织内部网络信息，接着将电脑里的文档文件、云端文件共享服务OneDrive的文件，借由WinRAR打包，并通过PuTTY外传，这一系列窃取数据的过程，黑客也企图借由AD Explorer创建本机AD数据库的快照。