在背景当中，此Office安装程序会启动经过混淆处理的.NET恶意软件，借由存取即时通信软件Telegram的频道，或社群网站Mastodon的网址，从而取得下载文件的URL，而这些网址位于Google Drive或是GitHub，因此一般的杀毒软件都会放行。

若是通过恶意软件从上述URL下载与还原经Base64编码处理的有效酬载，并且运行，就会触发PowerShell命令，并将一系列的恶意软件植入受害电脑。

这些恶意软件包括：木马程序Orcus RAT、挖矿软件XMRig、将受害电脑变成非法代理服务器的3Proxy、恶意程序下载工具PureCrypter，以及能窜改杀毒软件组态或是进行停用的程序AntiAV。

值得留意的是，就算用户察觉恶意程序并手动删除，只要电脑重新开机，黑客部署的「更新程序」就会重新加载前述的恶意软件。