接着，加载工具在特定文件路径创建名为cvtres.exe的处理进程，并将下一阶段的有效酬载以处理进程注入的手法，加载内存并启动新的处理进程，运行名为PureCrypter的恶意程序加载工具。

这个恶意程序加载工具连接至C2服务器，并将受害电脑进行注册，从而下载包含XMRig在内的最终有效酬载。

研究人员指出，PureCrypter不仅能隐藏自身，并配置在系统启动或用户登录电脑的时候自动运行，并能创建隐藏调度运行PowerShell命令，从而将特定文件列为杀毒软件Microsoft Defender的白名单。值得一提的是，为了防范研究人员逆向工程，黑客对于所有的有效酬载，皆通过.NET代码保护软件.NET Reactor进行处理。