另一臺電腦駭客則是前述攻擊的一個半月後開始活動，對方利用WMI遠端執行命令，並濫用電子書管理軟體Calibre主程式執行惡意DLL程式庫。而駭客在這臺電腦進行名稱管道冒充攻擊不久，又對第3臺電腦下手，透過Cobalt Strike建立工作排程，使用SYSTEM帳號從事攻擊行為。

研究人員循線清查是否有其他電腦受害，結果找到另一臺駭客設置在開機啟動Calibre的電腦，駭客設置了3個偽裝成微軟及Adobe更新的工作排程，但實際用途是定期與遠端的IP位址及Cobalt Strike主機連線。數個月後，駭客進行偵察，從而部署Node.js執行檔，目的是執行惡意延伸套件。