接著，對方使用XOR演算法解碼字串，取得Windows核心特定DLL檔案的名稱，成功後就會透過動態解析API呼叫，並利用多種方式得到記憶體的位置，然後以特殊手法解出C2的IP位址（研究人員並未透露手法為何），從而下載後門程式並執行。研究人員指出，攻擊者採用上述手法取得IP位址的原因，是為了避免遭到惡意軟體分析系統攔截。

而針對後門程式的部分，研究人員看到了兩種版本的CR4T，一個以C及C++開發，另一個採用Go語言開發，但兩者功能幾乎完全相同。

值得留意的是，研究人員推測，這起攻擊行動可能從去年2月就開始，相關惡意程式主要出現於中東地區，但似乎也有人從韓國、盧森堡、日本、加拿大、荷蘭、美國上傳相關檔案到惡意程式分析平臺，對此研究人員認為，這些人很有可能是透過VPN來傳輸檔案。