أظهر تحليل أحد مستندات عنصر التهديد أنه إذا تم تنفيذ وحدات الماكرو، فإنها تطلق برنامجين نصيين منفصلين لـ PowerShell. يقوم الأول بتنفيذ سكريبت PowerShell يتم تقديمه من hxxp://139.59.46.154:3485/eiloShaegae1. من المحتمل أن يكون هذا المضيف مرتبطًا بهجمات قامت بتقديم Pupy RAT، وهي أداة وصول عن بُعد متعددة المنصات ومتاحة للعامة.

يستدعي البرنامج النصي الثاني وظيفة VirtualAlloc لإنشاء مخزن مؤقت، ويستخدم memset لتحميل شيفرة Shellcode مرتبطة بـ Metasploit داخل هذا المخزن، ثم ينفِّذها عبر CreateThread. يُعَد Metasploit إطار عمل مفتوح المصدر شائع الاستخدام لتطوير وتنفيذ كود الاستغلال ضد أجهزة مستهدفة عن بُعد. يعمل shellcode على تنفيذ عملية XOR من نوع DWORD على أربعة بايتات عند إزاحة محددة من بداية الكود، ما يؤدي إلى تعديل الكود لإنشاء حلقة تكرار تستمر فيها عملية XOR عدد 0x57 مرة.

في حال نجاح هذا التنفيذ، يتم إنشاء مخزن مؤقت باستخدام VirtualAlloc، ثم يتم استدعاء InternetReadFile ضمن حلقة تكرارية إلى أن يتم إحضار محتوى الملف بأكمله من hxxp://45.76.128.165:4443/0w0O6. بعد ذلك، يتم إرجاع هذا المحتوى كسلسلة نصية إلى PowerShell، الذي يقوم باستدعاء invoke-expression (iex) عليها، ما يُشير إلى أن الحمولة المتوقعة هي PowerShell.

ومن الجدير بالذكر أن وحدة الماكرو كانت تتضمن وظيفة DownloadFile() تستخدم URLDownloadToFileA، إلا إنها لم تُستخدم فعليًا.

استنادًا إلى الملاحظات المرتبطة بالمستند الخبيث، تم رصد جلسات shell لاحقة من المرجح ارتباطها بـ Meterpreter الخاص بـ Metasploit، والتي أتاحت نشر أدوات وبرمجيات خبيثة إضافية قبل نشر ثلاثة ملفات مرتبطة بـ Shamoon هي: ntertmgr32.exe وntertmgr64.exe وvdsk911.sys.