Bendybear sprids från cyberspionagegruppen Blacktech som har misstänkta kopplingar till den kinesiska regimen. Gruppen har varit aktiv sedan åtminstone 2009 och ligger bakom cyberspionage som drabbat både stater och företag i främst Asien. På senare tid har Bendybear använts vid flera angrepp mot myndigheter i Östasien.

Bendybear är en variant av det tidigare kända skadeprogrammet Waterbear. Men den nya versionen är mycket svårare att upptäcka. Till exempel så kan skadliga så kallade payloads läggas direkt i minnet istället för på en disk vilket gör att det lämnas färre spår för säkerhetsprogram och analytiker att upptäcka och följa. Programvaran som används vid inledningen av angreppet är mycket avancerad och tyder på att skaparna av Bendybear lagt stort fokus på att ta sig in oupptäckt. Väl på plats ändrar Bendybear kontinuerligt sin signatur och utnyttjar modifierade krypteringsalgoritmer för att gömma sig.  

Efter sin upptäckt har Palo Alto Networks försett betrodda stater och branschkollegor med information om hur man kan upptäcka och stoppa angrepp som utnyttjar Bendybear. När nu insikter och dokumentation om Bendybear har spridits till medlemmarna av nätverket Cyber Threath Alliance bedömer man att riskerna att utsättas för cyberspionage via detta program kommer att minska. Men man uppmanar samtidigt till vaksamhet kring attacker med andra skadeprogram som har förmågan att gömma sig, till exempel Solarwinds.