Les opérateurs QBot exploitent une faille de détournement de DLL dans l'exécutable WordPad Windows 10 connu sous le nom d'écriture.exe pour éviter la détection. L'infection peut entraîner l'exposition de l'adresse e-mail d'un utilisateur qui pourrait être utilisée dans de futures attaques de phishing. De plus, l'appareil affecté peut être infecté en téléchargeant d'autres charges utiles, telles que Cobalt Strike, pour un accès initial. Les experts ont révélé que les attaquants peuvent se propager latéralement dans tout le réseau.