这些信件的内容，都包含经过行动版网页框架Google AMP处理的URL，一旦用户点击，就会被重新导向到架设在免费网页服务器代管服务InfinityFree的网页，这些网页含有点击以视图文档的链接，若是照作，网页就会检查用户字符串（User Agent），确认用户通过Windows电脑存取。

接着攻击者将用户导向Windows搜索的URI，而这个URI会连往TryCloudflare隧道，要求用户通过Windows文件总管打开；若非Windows用户，黑客则将他们导向特定Google Drive网址，以便收集这些用户的浏览器及网络组态信息。

一旦用户依照对话框的指示操作，Windows文件总管就会如黑客预期进行搜索，使得用户在文件总管看到捷径文件（LNK），或是ZIP压缩档。值得留意的是，虽然LNK或ZIP文件实际上存放在外部网络服务器，但看起来很像在内部网络WebDAV共享文件夹，而让用户很容易上当。研究人员指出，攻击者利用了Windows搜索文件格式SEARCH-MS，将搜索内容设置为WebDAV共用文件夹。

用户若是打开文件总管显示的文件，电脑就会调用PowerShell，从相同隧道的另一个WebDAV文件夹存取Python主程序，并利用特定的脚本传递参数。

然后，黑客从文件共享服务OpenDrive下载、打开特定语言的诱饵PDF文件，让用户降低戒心。在此同时，脚本也下载思科WebEx运行档及恶意DLL，通过DLL侧载手法运行后门程序Voldemort。

此后门程序黑客以C语言打造而成，并利用Google Sheets充当C2服务器，攻击者利用Python代码，向后门程序下达相关命令，最终于受害电脑植入Cobalt Strike。研究人员指出，这起攻击行动并不寻常，因此他们难以判断黑客实际的目标是仅有少部分企业，但也不排除前述超过70家企业都是目标。