Una volta estratto e sbloccato l'archivio, le vittime trovano un file chiamato Swift Transaction Report.js che contiene JavaScript offuscato. Lo script era progettato per eludere il rilevamento utilizzando tecniche di codifica di escape Unicode e concatenazione di stringhe. L'esecuzione dello script attiverà il download di un file Java Archive (JAR) fortemente offuscato, come Swift Confirmation Copy.jar e Tranzacție+în+USD-pdf.jar. Questi agivano come scaricatori di primo stadio, sfruttando offuscatori come Branchlock e Zelix KlassMaster per eludere analisi statiche e comportamentali.

IBM X-Force ha analizzato alcuni campioni SVG che rilasciavano il downloader JAR anziché il file ZIP contenente JavaScript, bypassando una fase della catena di infezione.

Se il sistema di destinazione aveva installato il Java Runtime Environment (JRE), il loader eseguiva e avviava una serie di controlli ambientali per rilevare sandbox o strumenti di analisi. Questi includono l'ispezione dei processi di sistema, l'entropia e gli indicatori di virtualizzazione. Solo dopo aver convalidato un ambiente utente reale il malware ha tentato di recuperare i payload di secondo stadio.

Per farlo, si è rivolto ai bucket Amazon S3 controllati dagli attaccanti, integrando download dannosi con traffico di cloud service altrimenti affidabili. Alcune varianti hanno incorporato i payload crittografati all'interno di file decoy dall'aspetto benigno, per ridurre ulteriormente la probabilità di rilevamento durante il trasferimento.