Dzięki rosyjsko-języcznym badaczom funkcji antyspamowej firmy Bitdefender możemy zapoznać się z jedną z rozsyłanych wiadomości: „My, grupa hakerów z Federacji Rosyjskiej, jesteśmy zaniepokojeni nieuzasadnionymi sankcjami nałożonymi przez państwa zachodnie wobec naszego kraju. Zakodowaliśmy naszą odpowiedź, poniżej znajdziecie link do naszego programu. Po włączeniu aplikacji na swoim komputerze, zacznie ona sekretnie atakować agencje rządowe krajów, które przyjęły sankcje.”
Po kliknięciu na link ofiary pobierają plik wykonywalny, który jest faktycznie Trojanem Kelihos. Trojan łączy się z centrum kontroli przez wymianę zaszyfrowanych wiadomości za pośrednictwem protokołu http, aby pobrać dalsze instrukcje.
Kehilos może komunikować się z innymi zakażonymi komputerami, kraść portfele Bitcoin, rozsyłać spam, kraść dane logowania, a także pobierać i uruchamiać inne szkodliwe pliki na atakowanym komputerze.
Kelihost botnet, odkryto cztery lata temu, ma strukturę sieci peer-to-peer, gdzie poszczególne węzły mogą pełnić rolę serwerów zarządzających botnetem, zwiększając tym samym jego trwałość, przez co trudniej go zniszczyć. Bitdefender zidentyfikował pobieranie węzłów w Ukrainie, Polsce i w Republice Mołdawii.
„To ironia, że większość zainfekowanych adresów IP pochodzi z Ukrainy”, powiedziała Doina Cosovan – analityk wirusów firmy Bitdefender. „To oznacza, że komputery w kraju zostały również zainfekowane, albo serwery dystrybucyjne znajdują się w Ukrainie.”
Zapraszanie internautów do pobierania narzędzi hakerskich, do przeprowadzenia ataków na przeciwników konkretnych założeń, była taktyką regularnie wykorzystywaną przez Anonymous, szczególnie w czasach gdy zaczynali swoją działalność.
Low Orbit Ion Cannon (LOIC) to narzędzie początkowo zalecało rozdawanie adresów IP użytkowników, co sprowadziło do aresztowania wielu podejrzanych. Taktyka ta nie była stosowana jedynie przez Anonymous, również wykorzystywano jej np. w internetowych potyczkach palestyńskich i izraelskich bohaterów.