В принципе верно всё вышеуказанное верно.

Словил такой файл.

Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.

Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.

Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).