この悪意のあるスクリプトを実行すると、システムに「WindowServer」というファイルが設置され、システムの起動時に自動的に実行されるように設定される。WindowServerはユニバーサル形式の実行ファイルで、VirusTotalに2023年4月28日の時点で発見の報告があるものの、悪意のあるソフトウェアとして登録されていなかったとしている。WindowServerを実行すると、DNS over HTTPS経由でコマンド&コントロール(C2: Command and Control)サーバのIPアドレスを取得し、接続を確立する。DNS over HTTPSを使用するのはDNSリクエストを隠蔽して検出を回避する意図があると考えられている。