一旦成功创建连接，攻击者就会发送名为Microsoft Windows Update的运行档并打开。而这个程序的作用，就是模仿操作系统更新的画面，让用户误以为电脑正在安装更新程序。研究人员指出，由于这支程序不会运行其他恶意行为，大部分的杀毒软件并未视为有害。

为了避免用户按下Esc键让程序停止运作拆穿计谋，这些黑客滥用AnyDesk的功能，停用用户端的键盘及鼠标。

正当用户以为电脑在运行系统更新作业的时候，黑客通过AnyDesk进行远程存取，先是存取受害者的OneDrive帐号、网络共享文件夹，然后借由AnyDesk的文件传输功能将偷到的数据外流，并留下勒索消息。接着，黑客利用Advanced IP Scanner试图寻找其他下手目标。

这起攻击行动持续了接近4个小时，攻击者最终切断AnyDesk连接，并留下作案的文件，但并未使用工作调度或其他自动化的方式再度启动。对此，研究人员呼吁，企业应管制AnyDesk存取控制名单，仅允许来自指定设备的连接，避免遭遇类似的攻击。