In pratica i dispositivi infetti opportunamente camuffati da criminali informatici vengono lasciati incustoditi in posizioni strategiche vicino o all'interno dell'azienda target, ed è probabile che vengano notati da uno o più dipendenti, suscitando così l'interesse di questi ultimi e invogliandoli a cercare contenuti nel dispositivo (di proprietà dell'azienda vittima), ad esempio una chiavetta USB.
Una volta connesso il dispositivo al computer, infatti, il programma dannoso si esegue su quest'ultimo, infettandolo e consegnandolo direttamente ai cybercriminali, che potranno quindi far funzionare l'azienda indisturbati muovendosi liberamente all'interno della rete e perseguirne le finalità illecite.
