Sa méthode d’infection est atypique car il utilise une distribution centralisée par le biais d’une poignée de serveurs non IoT qui effectuent l’analyse, l’exploitation des vulnérabilités, et le chargement des programmes malveillants sur les machines victimes de l’IoT. Il profite de deux vulnérabilités dont l’exploitation est devenue populaire récemment dans les botnets IoT :
• CVE-2014-8361 "Realtek SDK MiniKd UPnP SOAP Command Execution" vulnérabilité et exploitation associée.
• CVE-2017–17215 "Routeur Huawei HG532 - Vulnérabilité de" Huawei Routeur HG532 - Exécution arbitraire de commandement "et l’exploitation connexe.

Les deux vecteurs d’exploitation des failles sont connus depuis la documentation du botnet Satori et fondés sur le code qui a été récemment mis en ligne sur Pastebin par The Janit0r, l’auteur de "BrickerBot".

Le malware utilise également des techniques similaires à celles utilisées dans le botnet récemment découvert, PureMasuta, dont le code source a été publié dans un forum privé du Darknet.

Notre enquête nous a conduit à un serveur C2 hébergé sous le domaine sancalvicie. com’. Le site lié à ce domaine fournit GTA San Andreas Multi-Player mod hosting et DDoS Services GTA San Andreas comme un side-Service.