Для запуска процедуры установки T9000 пользователю нужно открыть вредоносный файл .rtf, полученный в фишинговом сообщении. Многоступенчатый процесс инсталляции позволяет зловреду избежать детектирования.

Сначала T9000 тщательно выявляет, установлена ли в системе одна из 24 программ обеспечения безопасности (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360), и уже после адаптирует процесс загрузки таким образом, чтобы обойти защиту.
На второй стадии загружается вредоносная DLL-библиотека, при этом бэкдор снова проверяет, какой из антивирусов может представлять для него угрозу. В зависимости от результатов проверки зловред применяет один из трех возможных сценариев для начала третьей фазы. Сам вредоносный компонент загружается не раньше четвертой фазы, но даже тогда T9000 способен незаметно исчезнуть, не оставляя следов, если выявит в системе запущенные процессы антивирусных программ. Если же установка увенчалась успехом, имя пользователя и версия ОС отправляются на удаленный сервер, с которого, в свою очередь, загружаются модули, позволяющие злоумышленникам похищать данные.