他们也特别详细展示用户上钩的场景：当用户打开对方提供的PDF文件后，Foxit PDF Reader会弹出消息说明部分功能因资安风险考量已被停用，询问用户是否暂时打开相关功能，若不慎按下确定，就会弹出第2则消息。

而这个弹出式窗口的内容，其实是PDF文件要求运行特定的应用程序，若按下默认的OK键，就会允许电脑运行攻击者想要启动的作案工具，触发对方设计的攻击链。

在其中一波攻击行动里，黑客散布与军事有关的PDF文件，一旦用户打开文件并同意放行打开特定程序，电脑就会取得恶意程序下载工具并运行，然后被植入两款恶意酬载，导致电脑内部数据外泄。这起攻击行动在4月5日达到高峰，研究人员指出攻击者的身分是DoNot Team（APT-C-35）。

另一波攻击行动疑似锁定美国用户，用户打开对方提供的PDF文件并进行操作，电脑就会可能被植入第一阶段酬载，接着触发一系列的恶意软件感染流程，最终于受害电脑部署窃资软件，以及挖矿程序XMRig、lolMiner。

研究人员指出，虽然这种型态的弱点，同时带有对用户进行网络钓鱼的成分，引诱他们根据习惯直接点击确定而上当，但有鉴于滥用这种手法的情况近期不断上演，Foxit接获他们的通报后，也承诺计划在后续的2024.3版进行处理。

但为何这种攻击过往鲜少被发现？研究人员表示有2个原因，首先是大部分对于PDF视图器的攻击，都是针对Acrobat Reader而来，再者，则是大多数的沙箱及资安研究人员，也都是利用Acrobat Reader触发恶意程序，而该PDF视图器不易受到这种弱点影响。