Volgens Arbor Networks gebruiken de geavanceerde aanvallen gecoördineerd meerdere botnet clients. Bovendien zijn de aanvallen niet gericht op alle Secure Shell (SSH) remote admin servers maar op specifieke severs. Door deze techniek zijn de aanvallen gevaarlijker, omdat detectie minder snel voorkomt. De aanvallen lijken op een stroom aanvallen die afgelopen mei plaatvond; ook daar ging het om 'gedistribueerde brute force'.

Rond deze aanvallen heerst nog veel onduidelijkheid. Zo is de botnet code voor de aanvallen nog niet geïsoleerd, een belangrijke voorwaarde voor het bestrijden ervan. Arbor Networks publiceerde wel een lijst met blacklists, maar zoals the Register al aangaf schijnen er nogal wat nog gegevens te ontbreken in deze lijsten, wat bij aanvallen van deze soort niet vreemd is. Omdat geïnfecteerde machines niet voortdurend maar slechts voor één inlog-poging per keer gebruikt worden omzeilen ze blacklists. Bron: Techworld