接著，這個DLL檔案會設置反掛鉤（anti-hooking）手法，並且會先進入休眠狀態，為期15秒之後，再進行解密、執行下個階段的攻擊，從而接收批次檔設置的機碼金鑰。

值得一提的是，為了迴避防毒軟體及EDR系統的偵測，這些駭客設置名為ProcessSignaturePolicy的緩解措施，禁止將未具備微軟簽章的DLL檔案載入處理程序，這也代表非微軟簽署的資安系統DLL元件有可能因為無法注入正在執行的特定應用程序記憶體位址，而無法正常運作。但研究人員也指出，許多防毒業者使用的DLL檔案都經過微軟簽署，其中部署端點防護解決方案還會在呼叫SetProcessMitigationPolicy之前就注入DLL，根據這樣的說法，駭客所採取的做法，有可能鎖定尚未具備上述簽署機制的資安系統而來。

完成上述的步驟，Prints1m.dll才會讀取兩個由批次檔設置的登錄檔金鑰，並將Shell Code充當惡意程式載入工具，把名為Core-Implant的DLL分配記憶體位置，並將每個部分載入記憶體。成功後Core-Implant將管理C2通訊，並於受害電腦植入Demodex。為了迴避作業系統的驅動程式簽章強制（DSE）機制，駭客濫用遊戲作弊工具Cheat Engine，並運用其中已簽章的驅動程式dbk64.sys操縱記憶體，而能在Core-Implant執行Shell Code，然後在該驅動程式加入額外功能，使其能夠載入Demodex。