另一台电脑黑客则是前述攻击的一个半月后开始活动，对方利用WMI远程运行命令，并滥用电子书管理软件Calibre主程序运行恶意DLL程序库。而黑客在这台电脑进行名称管道冒充攻击不久，又对第3台电脑下手，通过Cobalt Strike创建工作调度，使用SYSTEM帐号从事攻击行为。

研究人员循线清查是否有其他电脑受害，结果找到另一台黑客设置在开机启动Calibre的电脑，黑客设置了3个伪装成微软及Adobe更新的工作调度，但实际用途是定期与远程的IP位址及Cobalt Strike主机连接。数个月后，黑客进行侦察，从而部署Node.js运行档，目的是运行恶意延伸套件。