这个试算表内含巨集，不过研究人员提到，这些黑客运用名为VBA stomping的攻击手法，利用事先解析的比特码（Bytecode）取代原本的VBA巨集内容，使得用户视图该试算表巨集不会显示任何内容，并使得打开文件的时候看似无害。

所谓的VBA stomping，指的是攻击者利用假的VBA代码（p-code）取代原本运行VBA源码的流程，由于大部分的资安分析工具及杀毒软件通常会针对VBA源码进行检查，使得这种手法有可能躲过相关检测。

然而，研究人员发现，一旦用户打开试算表，这个文件就会运行巨集的内容，先是通过窜改用户电脑Windows操作系统的登录机码，目的是隐藏Office的警示消息，然后使用EnumThreadWindows的功能函数列出正在运行的窗口，并在系统登录机码写入一笔Excel启动即加载的键值，确保持续运行，接着存取经过编码处理的URL网址，并且运用WScript.Shell进行下载，随后运用SetWindowsHookEx函数监控键盘输入的内容，并且产生数个随机的计时器，用来启动、尝试下载文件。

他们针对Orcinius参照Synaptics.exe、cache1.exe的行为进行比对，指出该木马程序与Remcos、AgentTesla、Neshta、HTMLDropper等多款恶意程序有关，而它们之间的共通点在于，有可能会将攻击程序伪装成Synaptics.exe散布。