De modulaire malware wordt al een tijdje nauwlettend in de gaten gehouden door meerdere beveiligingsbedrijven, omdat het sterk aan het evolueren is, nieuwe tactieken ontwikkelt en uit de b├Ętafase kwam met een 1.0-versie. Fox-IT publiceerde bijvoorbeeld eerder dit jaar een analyse van PsiXBot. Zo voegden de makers een fast-flux infrastructuur toe, waarmee IP-adressen snel dynamisch worden gewisseld, zodat het blacklisten van malafide adressen dweilen met de kraan open is. Ook wordt DNS over HTTPS nu gebruikt.

De malware heeft nu ook een module genaamd StartPorn toegevoegd die activeert als bepaalde sleutelwoorden worden gedetecteerd. Opnamefuncties van de camera en microfoon worden op dat moment ingeschakeld, schrijft beveiligingsbedrijf Proofpoint. De aangemaakte .avi wordt vervolgens naar een C&C gestuurd, zodat afpersers vervolgens hun slachtoffers kunnen benaderen met dit beeldmateriaal.

Proofpoint eerder dit jaar over de malware: "Sinds de malware is opgedoken in 2017 is het veel wijzigingen doorlopen, waardoor het een competente en relevante dief is." Volgens het bedrijf laten de veranderingen zien dat de makers of groep erachter hard werkt om deze malware competitief te maken. De malware is verder breed inzetbaar. Hij heeft namelijk ook modules om cryptovaluta-sleutels op te merken in het klembord, een RAT-module, keylogger, module die wachtwoorden en cookies steelt, en een spammodule.