一旦成功建立連線，攻擊者就會傳送名為Microsoft Windows Update的執行檔並開啟。而這個程式的作用，就是模仿作業系統更新的畫麵，讓使用者誤以為電腦正在安裝更新程式。研究人員指出，由於這支程式不會執行其他惡意行為，大部分的防毒軟體並未視為有害。

為了避免使用者按下Esc鍵讓程式停止運作拆穿計謀，這些駭客濫用AnyDesk的功能，停用用戶端的鍵盤及滑鼠。

正當用戶以為電腦在執行系統更新作業的時候，駭客透過AnyDesk進行遠端存取，先是存取受害者的OneDrive帳號、網路共享資料夾，然後藉由AnyDesk的檔案傳輸功能將偷到的資料外流，並留下勒索訊息。接著，駭客利用Advanced IP Scanner試圖尋找其他下手目標。

這起攻擊行動持續了接近4個小時，攻擊者最終切斷AnyDesk連線，並留下作案的檔案，但並未使用工作排程或其他自動化的方式再度啟動。對此，研究人員呼籲，企業應管制AnyDesk存取控制名單，僅允許來自指定設備的連線，避免遭遇類似的攻擊。