次の処理は、通常不正ソフトウェアがインストールされ、C&Cサーバに通信が返されたときに実行されます。
-
「ダウンローダ」と呼ばれるソフトウェアが、不正プログラムを自動的にダウンロードしてインストールします。
-
C&Cサーバを監視している人物 (攻撃者) が、処理を実行して接続に応答します。「リモートアクセス型トロイの木馬」 (RAT) と呼ばれるソフトウェアにより、攻撃者はシステムを調べたり、ファイルを抽出したり、感染したシステムで実行するための新しいファイルをダウンロードしたり、システムのビデオカメラやマイクを起動したり、画面キャプチャやキーストロークを取得したり、コマンドシェルを実行できるようになります。
攻撃者はさらに永続的なアクセスポイントを取得して、感染したネットワーク内を動き回ります。また、ネットワーク上にあるデータの収集のためにユーザのアカウント情報を盗もうとします。成功すると、収集されたデータはネットワークから別の環境に持ち出され、さらに調査されます。
この移動は、ゆっくりとしたペースで行われるため、検出されません。検出された場合は、一時的に活動を休止し、その後再開します。組織によってネットワークから排除された場合は、攻撃サイクルを最初からやり直します。