Фактически ботнет — это Wi-Fi-маршрутизаторы, серверы и сетевые системы хранения данных, зараженные вирусом XOR DDoS. Аналитики утверждают, что взлом устройств производился с применением «брутфорса» (brute force — атака, предполагающая перебор паролей доступа к настройкам). Как только системе удается подобрать пароль, на взломанное устройство отправляется SSH-сообщение длиной до 6000 символов. Команды, содержащиеся в нем, производят заражение устройства троянской программой.
Ботнет может осуществлять более 20 тысяч попыток подбора ключей в сутки в расчете на одно устройство. Всего же за период с ноября 2014 года по конец января 2015 года было зафиксировано 1 миллион попыток атаки одного из серверов, за которым велось наблюдение.
В настоящее время ботнет активно используется — создатели троянской программы ежедневно атакуют более двух десятков корпоративных сетей, причем подавляющее большинство «жертв» физически находится в Азии. Чаще всего атакам подвергаются компании, занимающиеся разработкой компьютерных игр, на втором месте по популярности — образовательные учреждения.
В Akamai Technologies отмечают:
Десять лет назад операционная систем Linux представляла собой более защищенную альтернативу Windows, на которую тогда приходилась значительная часть атак. Компании активно переходили на Linux, для того чтобы укрепить свою инфраструктуру. Но по мере распространения Linux-систем привлекательность их взлома для злоумышленников также возросла.
Аналитики не скрывают, что злоумышленники и дальше продолжат развивать ботнет и совершенствовать Linux-троян. Всего же в мире в настоящее время насчитывается около 40 млн роутеров, зараженных различными троянскими программами для операционных систем с ядром Linux, в частности, MrBlack, Dofloo и Mayday. Эти устройства также используются для осуществления DDoS-атак.