研究人員指出，DodgeBox採用多種迴避偵測的手法，包括：呼叫記憶體堆疊欺騙（Call Stack Spoofing）、DLL側載、DLL處理程式挖空，以及環境護軌（Environmental Guardrails）。他們認為，駭客結合上述的手法，而能有效降低被資安防護系統偵測到的機會。

他們看到有人從臺灣及泰國上傳DodgeBox到惡意程式檢測平臺VirusTotal，而APT41過往在針對東南亞地區的攻擊行動裡使用StealthVector，兩款惡意程式在攻擊的地理位置產生關聯。

這個惡意程式下載工具以C語言打造而成，研究人員認為應獨立於StealthVector視為另一個惡意程式的主要原因在於，DodgeBox採用了獨特的演算法，以及新的技術。

駭客執行這個惡意程式的方式，不意外地採用相當常見的DLL側載手法，但他們用來載入的可執行檔，都是來自資安業者開發的防護元件，他們看到其中一種是來自韓國資安業者AhnLab開發，另一個則是Sophos旗下的沙箱解決方案業者Sandboxie製作。

一旦這個惡意軟體成功載入執行，電腦就會先使用AES-CFB演算法解密組態設定，然後進行環境檢查，確保使用正確的參數執行，並解析特定API進行環境設定，最終比對MAC位址、電腦名稱、使用者名稱，避免在資安研究人員的測試環境運作。

在完成上述步驟後，DodgeBox才會解密有效酬載，並利用指定金鑰重新加密，最終透過DLL處理程式挖空手法載入有效酬載。研究人員指出，駭客加密目的，是讓有效酬載無法在受害電腦以外的地方執行。

比較特別的是，這裡對方用來載入有效酬載的DLL檔案，是從System32隨機挑選、複製後再濫用。

在前述的執行過程裡，駭客在DodgeBox運作過程當中，還運用了另一項攻擊手法呼叫記憶體堆疊欺騙，這麼做的目的是掩蓋API呼叫的來源，讓這些惡意程式的呼叫看起來像來自合法執行檔，使得防毒軟體及EDR系統偵測攻擊行動更加困難。

而針對駭客使用的有效酬載MoonWalk，研究人員發現，駭客使用了許多與DodgeBox相同的迴避偵測手法，原因是他們使用了共通的開發套件打造兩者，但不同的是，MoonWalk具備進階功能，像是濫用Google Drvie作為C2通道，以及透過Windows Fibers迴避防毒軟體及EDR的偵測。

此外，該後門程式採用模組化設計，使得攻擊者能輕易對於不同情境調整功能，或是加入新的能力。

究竟這個後門的運作方式為何？一旦MoonWalk於受害電腦的記憶體內載入，就會解密C2、Utility兩項內嵌模組並啟動，然後建立C2連線。

不過，研究人員指出MoonWalk有多項特別的運作方式，首先，在初始化的時候會卸除載入工具DodgeBox，並使用處理程式環境區塊（Process Environment Block，PEB）解除兩者之間的連結，這麼做的目的主要是混淆來源，但也減少MoonWalk的足跡。

接著，此後門程式會初始化用於管控Windows Fibers的全域架構。

什麼是Windows Fibers？研究人員指出，這是輕量級的處理程式機制，與一般處理程式最大的不同在於，Fiber處理程式由應用程式管理、調度，而非由作業系統管控，使得開發者能對於特定工作負載調整應用程式效能，但這種機制較為複雜，加上推出後電腦硬體效能也顯著成長，使得Fiber處理程式並未受到廣泛採用。

隨著近年來全球資安威脅加劇，這種鮮為人知的功能成為駭客利用的對象，也有研究人員與紅隊演練關注這類機制。研究人員指出，APT41濫用這種作業系統功能，使得MoonWalk有機會逃過部分防毒軟體或EDR系統的偵測，甚至能夠破壞控制流程，導致研究人員分析難度提高。

完成上述準備工作後，MoonWalk才會解密、載入配置及外掛模組，最終與C2連線。此後門程式的主要功能，除能執行駭客下達的命令，還包含了收集系統資訊、竊取憑證，甚至能產生登入Windows作業系統的憑證。