研究人员也提到黑客在2022年8月第二波的宣传，对方声称提供后利用框架PentestSoftware，并具备多个模块可供搭配，其功能是用来渗透企业网络环境，并能回避杀毒软件侦测，他们耗费3年多、斥资100万美元打造这套框架。

但特别的是，这次黑客还提供使用手册的PDF文件，并在文档以IceBot及Remote System Client称呼这套工具。

到了去年3月，这些黑客使用新的ID「Stupor」兜售杀毒软件杀手，开价1万美元，后续SentinelOne研究人员也设法取得对方提供的工具进行分析，并确认是新版AuKill。

持续演化至今，研究人员发现AuKill增加新的手段，那就是滥用Windows操作系统内置的ProcLaunchMon.sys，这是用来监督「时间历程调试（Time Travel Debugging，TTD）」的驱动程序，对方结合这种驱动程序与特定的作业流程，导致某些受保护处理进程的实作无法与子进程沟通而发生故障，最终造成阻断服务（DoS）。他们滥用ProcLaunchMon.sys及特定版本的Process Explorer驱动程序，来达到上述目的。

具体来说，黑客做了那些事情？研究人员表示，首先，对方在受害电脑的System32文件夹投放了Process Explorer、TTD监视器的驱动程序，加载并链接特定的驱动程序设备。然后他们设置新的TTD监控连接阶段（Session），与监视器的驱动程序进行交互。

接着，黑客在TTD监控连接阶段里，加入被锁定的受保护处理进程PID，从而导致新产生的子处理进程被停止，再利用Process Explorer的驱动程序移除未受到保护的子处理进程。

在黑客这么做之后，受到保护的处理进程将会试图重新启动子处理进程，但这次就会被系统内核暂停，使得子处理进程无法进行通信。