Theo phân tích của chuyên gia CMC Cyber Security, khi chạy Unikey sẽ tải layout bàn phím us - qua đó thực thi dll kdbus.dll của windows. Lợi dụng đặc điểm này, hacker đã chèn vào một tập tin kbdus.dll độc hại vào cùng thư mục với UnikeyNT.exe để tệp tin này được ưu tiên tải lên thay vì dll của windows. Vì thế khi Unikey được bật, thì đồng thời, mã độc cũng sẽ được thực thi theo mà không gây nghi ngờ gì cho người dùng.

Kẻ tấn công cũng thay đổi thuộc tính về thời gian của tệp tin kdbus.dll về cùng với thời gian của file UnikeyNT.exe để người dễ dàng đánh lừa người dùng hơn. Thực chất file này đã được biên dịch vào khoảng đầu tháng 10 năm nay.

Khi tập tin mã độc kbdus.dll được chạy, nó sẽ đọc giá trị đặc biệt đã được chuẩn bị sẵn tại khóa registry HKEY_CLASS_ROOT\.kci\PersistenHandler có tên là "CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A" để lấy thông tin về C&C  (máy chủ điều khiển - PV) sẽ kết nối tới.

Mã độc sau đó tiếp tục đọc và thực thi payload chính nằm trong cùng khóa trên có giá trị "F430D64D98E6EAC972380D568F080E08". Payload và các giá trị đặc biệt này đều được mã hóa và chỉ decrypt trong quá trình thực thi của mã độc, qua đó tránh được sự giám sát của các công cụ bảo mật.

Sau khi tải payload lên bộ nhớ, mã độc sẽ thu thập các thông tin của máy tính nạn nhân. Các thông tin thu thập được sẽ được mã hóa và gửi đến C&C server. Sau khi có được thông tin cần thiết, mã độc sẽ thực thi command từ C&C để thực hiện các hành vi nguy hiểm khác.

Chuyên gia CMC Cyber Security khuyến cáo người sử dụng nên kiểm tra kỹ thư mục cài đặt Unikey, loại bỏ file kbdus.dll cùng thư mục hoặc sử dụng sản phẩm chống mã độc để bảo vệ máy tính của mình và chỉ sử dụng unikey chính chủ tải từ trang web chính thức của phần mềm Unikey.org.