一旦收信人依照指示開啟附件，攻擊者就會利用wscript.exe啟動out_czlrh.js，電腦便會連線到特定的網路共享資料夾下載MSI安裝檔並執行。

此MSI檔會連結攻擊者控制的網域，並利用rundll32.exe取得SSLoad有效酬載，收集受害主機資訊。

接著，對方利用Cobalt Strike進行偵察工作，然後下載、部署ScreenConnect，從而讓攻擊者遠端存取受害電腦。

藉由遠端管理工具完全控制電腦，攻擊者嘗試收集相關帳密資料，並將目標轉向網域控制器，最終建立自己的網域管理員帳號，來危害受害組織的網域。