Álcázott támadás, rejtett hátsó ajtók
A második hullámban letöltött szkript SSH-hozzáférést biztosít a támadónak azzal, hogy az ő publikus kulcsát írja a /root/.ssh/authorized_keys fájlba, vagyis teljes ellenőrzést ad a rendszer felett. Egy minden percre beállított cron job lezárja kívülről a 2375-ös portot, így sem más potenciális támadók, sem akár a rendszergazda nem férhet hozzá. Emellett telepíti a masscan, zstd, libpcap és torsocks eszközöket, ezzel támogatva a további hálózati terjeszkedést, tömörítést és a forgalom elrejtését.
Önmagát másoló kártevő
A fertőző Go-ban írt bináris képes újabb védtelen Docker API-kat felkutatni és autonóm módon megfertőzni azokat, miközben eltávolítja a rivális botokat. Ez a fajta önreplikáció a botnetek fő jellemzője: külső beavatkozás nélkül is gyorsan terjedhetnek. A program további, még nem aktivált funkciókat is tartalmaz Telnet és a Chrome böngésző távoli hibakereső felületeinek támadására, ami a jövőben akár további terjeszkedést, adatlopást vagy DDoS-támadásokat is lehetővé tehet. A kódból ítélve ez a variáns még csak a botnet kezdeti verziója – de már most is komoly, sokoldalú fenyegetést jelent.
