该团队在监测该电影相关的要挟激增时，截获了一个假造的种子文件。虽然运用抢手电影传达歹意软件并非新鲜事，但有经历的人指出，此次进犯的感染链规划之杂乱、隐蔽性之高，在同类进犯中实属稀有。

  Bitdefender 虽没办法计算切当的中招人数，但多个方面数据显现该假造种子已具有数千个做种者（Seeders）和下载者（Leechers）。

  与一般视频文件不同，该歹意种子包括一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），进犯的中心在于那个看似一般的字幕文件。

  当用户点击 CD.lnk 快捷方式后，其实便是执行了一串 Windows 指令。该指令会精准定位并提取字幕文件中第 100 至 103 行之间躲藏的歹意 PowerShell 脚本。因为大多数杀毒软件不会将文本格式的字幕视为要挟源，因而这一进程彻底绕过了传统的安全扫描。

  被激活的 PowerShell 脚本会促进解密字幕文件中通过 AES 加密的数据块，重构出五个新的脚本文件并释放到体系目录中。随后，进犯进入杂乱的五个阶段：

  紧接着，脚本会从顺便的 JPG 图片文件中解码出二进制数据，这在某种程度上预示着黑客乃至将歹意代码 隐写 在了电影海报里；

  这一冗杂进犯链的终究意图是植入 Agent Tesla。这是一种自 2014 年以来就活泼在网络违法范畴的 Windows 长途拜访木马（RAT）和信息盗取程序。虽然它不是新式病毒，但因其极高的可靠性和易布置性，至今仍被广泛运用。

  设备一旦感染，Agent Tesla 可以盗取受害者的浏览器记载、电子邮件登录凭据、FTP 和 VPN 账户信息，乃至能实时截取屏幕画面，将用户的隐私数据传输给进犯者。

  Bitdefender 进一步指出，这种进犯方法并非个例。在其他抢手电影（如《碟中谍：终究清算》）的盗版资源中，研究人员也发现了相似的进犯活动，只不过植入的是 Lumma Stealer 等其他类型的保密软件。