研究人员指出，DodgeBox采用多种回避侦测的手法，包括：调用内存堆栈欺骗（Call Stack Spoofing）、DLL侧载、DLL处理进程挖空，以及环境护轨（Environmental Guardrails）。他们认为，黑客结合上述的手法，而能有效降低被资安防护系统侦测到的机会。

他们看到有人从台湾及泰国上传DodgeBox到恶意程序检测平台VirusTotal，而APT41过往在针对东南亚地区的攻击行动里使用StealthVector，两款恶意程序在攻击的地理位置产生关联。

这个恶意程序下载工具以C语言打造而成，研究人员认为应独立于StealthVector视为另一个恶意程序的主要原因在于，DodgeBox采用了独特的算法，以及新的技术。

黑客运行这个恶意程序的方式，不意外地采用相当常见的DLL侧载手法，但他们用来加载的可运行档，都是来自资安业者开发的防护组件，他们看到其中一种是来自韩国资安业者AhnLab开发，另一个则是Sophos旗下的沙箱解决方案业者Sandboxie制作。

一旦这个恶意软件成功加载运行，电脑就会先使用AES-CFB算法解密组态设置，然后进行环境检查，确保使用正确的参数运行，并解析特定API进行环境设置，最终比对MAC位址、电脑名称、用户名，避免在资安研究人员的测试环境运作。

在完成上述步骤后，DodgeBox才会解密有效酬载，并利用指定密钥重新加密，最终通过DLL处理进程挖空手法加载有效酬载。研究人员指出，黑客加密目的，是让有效酬载无法在受害电脑以外的地方运行。

比较特别的是，这里对方用来加载有效酬载的DLL文件，是从System32随机挑选、拷贝后再滥用。

在前述的运行过程里，黑客在DodgeBox运作过程当中，还运用了另一项攻击手法调用内存堆栈欺骗，这么做的目的是掩盖API调用的来源，让这些恶意程序的调用看起来像来自合法运行档，使得杀毒软件及EDR系统侦测攻击行动更加困难。

而针对黑客使用的有效酬载MoonWalk，研究人员发现，黑客使用了许多与DodgeBox相同的回避侦测手法，原因是他们使用了共通的开发套件打造两者，但不同的是，MoonWalk具备进阶功能，像是滥用Google Drvie作为C2信道，以及通过Windows Fibers回避杀毒软件及EDR的侦测。

此外，该后门程序采用模块化设计，使得攻击者能轻易对于不同情境调整功能，或是加入新的能力。

究竟这个后门的运作方式为何？一旦MoonWalk于受害电脑的内存内加载，就会解密C2、Utility两项内嵌模块并启动，然后创建C2连接。

不过，研究人员指出MoonWalk有多项特别的运作方式，首先，在初始化的时候会卸除加载工具DodgeBox，并使用处理程序环境区块（Process Environment Block，PEB）解除两者之间的链接，这么做的目的主要是混淆来源，但也减少MoonWalk的足迹。

接着，此后门程序会初始化用于管控Windows Fibers的全域架构。

什么是Windows Fibers？研究人员指出，这是轻量级的处理进程机制，与一般处理进程最大的不同在于，Fiber处理进程由应用程序管理、调度，而非由操作系统管控，使得开发者能对于特定工作负载调整应用程序性能，但这种机制较为复杂，加上推出后电脑硬件性能也显著成长，使得Fiber处理进程并未受到广泛采用。

随着近年来全球资安威胁加剧，这种鲜为人知的功能成为黑客利用的对象，也有研究人员与红队演练关注这类机制。研究人员指出，APT41滥用这种操作系统功能，使得MoonWalk有机会逃过部分杀毒软件或EDR系统的侦测，甚至能够破坏控制流程，导致研究人员分析难度提高。

完成上述准备工作后，MoonWalk才会解密、加载配置及插件模块，最终与C2连接。此后门程序的主要功能，除能运行黑客下达的命令，还包含了收集系统信息、窃取凭证，甚至能产生登录Windows操作系统的凭证。