究竟攻擊者的動機是什麼？研究人員表示仍無法確定，不過對於駭客散佈多種惡意程式的情況，他們認為與經濟利益有關，這些駭客可能向其他組織提供GootLoader。此外，UNC2565也開發新的橫向移動工具GootBot，他們研判對方是為了擴大使用GootLoader的範圍。

GootLoader如何用於攻擊行動？研究人員指出駭客通常會先入侵網站，並植入含有GootLoader的JavaScript惡意酬載，並使用搜尋引擎最佳化中毒的手法，鎖定想要尋找法律檔案範本的企業使用者下手。

一旦使用者依照指示從網站下載JavaScript檔案，電腦就會啟動感染鏈。研究人員指出，上述攻擊途徑與他們2020年看到的幾乎一樣，代表駭客認可這種偷渡式下載（Drive-by Download）的入侵手法。

攻擊者藉由Windows內建的處理程式wscript執行第一階段的有效酬載，該惡意程式將第二階段的作案工具儲存於磁碟，並設置工作排程執行。

特別的是，雖然對方也是利用wscript啟動第二階段的有效酬載，但他們會將其移轉到另一個執行cscript的子處理程式。接著cscript會產生另一個PowerShell處理程式，並解開經過混淆處理的PowerShell指令碼，進行C2通訊。

到了第三個階段，GootLoader有效酬載透過PowerShell收集受害電腦的系統資訊，包含作業系統版本、正在執行的處理程式、環境變數、所屬網域資訊，以及磁碟使用情形。

研究人員指出，有別於1.0版及2.0版GootLoader駭客利用PowerShell反射手法載入、執行以.NET打造的DLL惡意程式，新版GootLoader則是利用PowerShell進行偵察，並充當後門程式，以便執行攻擊者下達的命令，或是下載其他惡意軟體。