In pratica i dispositivi infetti vengono lasciati incustoditi in posizioni strategiche vicino o all'interno dell'azienda target ed è probabile che vengano notati da uno o più dipendenti, suscitando così l'interesse di questi ultimi e invogliandoli a cercare contenuti nel dispositivo (di proprietà dell'azienda vittima) ad esempio una chiavetta USB.
Una volta connesso il dispositivo al computer, infatti, il programma dannoso si esegue, infettandolo e consegnandolo direttamente ai cybercriminali, che potranno quindi far funzionare l'azienda indisturbati muovendosi liberamente all'interno della rete e svolgere attività malizie.
