大多數人可能對於快速助手這個名稱感到冒生，這項工具微軟在Windows 10導入，主要用途是提供技術人員能透過網際網路遠端協助用戶排除問題。微軟最早提供類似的功能是在Windows XP作業系統上，當時叫做「Windows遠端協助（Windows Remote Assistance）」。

一旦使用者依照指示允許攻擊者進行控制，對方就會透過cURL命令下載一系列的批次檔或是ZIP壓縮檔，用途是傳送惡意酬載。研究人員看到攻擊者會使用QBot，但也有下載遠端管理工具的情況。

研究人員指出，攻擊者運用QBot傳遞Cobalt Strike及其他惡意酬載，而遠端管理工具ScreenConnect則是用於進行橫向移動，至於NetSupport Manager，對方拿來安裝其他惡意程式，或是對受害電腦執行命令。在部分攻擊行動裡，駭客也會濫用OpenSSH來建立SSH隧道，以便持續在受害環境行動。

攻擊者在結束通話後，會進一步進行偵察並橫向移動，然後使用PsExec於受害組織的網路環境部署勒索軟體並加密檔案。