Un binario Windows firmato può sembrare innocuo in superficie, ma può comunque diventare il veicolo di consegna per un loader furtivo quando gli aggressori collocano la DLL giusta accanto ad esso.
Un eseguibile firmato, un loader personalizzato e un implant residente in memoria indicano una catena di intrusione costruita per la furtività più che per il rumore.