这份诱饵文档相当特别的是，内容看起来有些歪斜，而这样的文件很有可能是将纸本数据扫描而成，但是否有经过光学字符辨识（OCR）处理？研究人员并未进一步说明。

接着，恶意软件会下载第2阶段的酬载vmcoreinfo，此为酬载就是Disgomoji的其中一个处理进程。

研究人员指出，Disgomoji是UPX加壳的ELF文件，并滥用Discord充当C2，黑客很可能是通过discord-c2的程序修改而成。值得留意的是，用于存取Discord服务器的身分验证凭证及服务器ID，都写死在ELF文件里。而该恶意软件一旦与服务器连接，就会为不同的受害电脑创建专属的信道，攻击者可借此与特定受害者交互。

这款恶意程序比较特别的地方在于，攻击者通过表情符号（emoji）向恶意程序发送命令，有时候还会使用参数。而恶意程序也会在处理收到的命令时，回传时钟的符号进行回应。

研究人员公布黑客运用的9种表情符号，这些包含了运行命令、截取屏幕截屏、取得受害电脑特定文件、上传文件、打包Firefox的设置，以及搜索特定格式的文档、图片、压缩文件。

一旦受害电脑成功感染恶意程序，对方就会利用Nmap扫描受害组织的网络环境，并通过Chisel和Ligolo创建网络隧道，而在部分情况下，攻击者还会企图利用名为Zenity的工具，引诱受害者输入密码。

值得留意的是，这些黑客也利用漏洞DirtyPipe（CVE-2022-0847）进行权限提升。