在背景當中，此Office安裝程式會啟動經過混淆處理的.NET惡意軟體，藉由存取即時通訊軟體Telegram的頻道，或社群網站Mastodon的網址，從而取得下載檔案的URL，而這些網址位於Google Drive或是GitHub，因此一般的防毒軟體都會放行。

若是透過惡意軟體從上述URL下載與還原經Base64編碼處理的有效酬載，並且執行，就會觸發PowerShell命令，並將一系列的惡意軟體植入受害電腦。

這些惡意軟體包括：木馬程式Orcus RAT、挖礦軟體XMRig、將受害電腦變成非法代理伺服器的3Proxy、惡意程式下載工具PureCrypter，以及能竄改防毒軟體組態或是進行停用的程式AntiAV。

值得留意的是，就算使用者察覺惡意程式並手動刪除，只要電腦重新開機，駭客部署的「更新程式」就會重新載入前述的惡意軟體。