Angriparna bakom Darkhotel har genom åren infiltrerat nätverken på en rad hotell, även system som har betraktats som säkra. De väntar tills offret har checkat in och anslutit sig till hotellets trådlösa nätverk genom att logga in med rumsnummer och efternamn. Angriparna ser offret i det infiltrerade nätverket och lurar personen att ladda ner vad som ser ut att vara en programuppdatering för exempelvis Google Toolbar, Adobe Flash eller Windows Messenger. I själva verket är det en bakdörr som gör det möjligt att stjäla information från den nu infekterade enheten.

När bakdörren väl är på plats kan den användas för att ladda ner fler skadliga verktyg. Bland annat en avancerad keylogger, trojanen Karba och en modul som stjäl information. Verktygen samlar in data om det infekterade systemet och de säkerhetsprogram som är installerade på det för att stoppa skadlig kod. De läser även av tangenttryckningar och letar efter cachade lösenord i Firefox, Chrome och Internet Explorer, inloggningsuppgifter för Gmail Notifier, Twitter, Facebook, Yahoo! och Google, och annan privat information. Efter attacken avlägsnar angriparna grundligt verktygen från hotellnätverket.

– Under de senaste åren har Darkhotel-angriparna genomfört en rad framgångsrika attacker mot högprofilerade personer, med hjälp av metoder och tekniker som är långt mer avancerade än de som cyberbrottslingar vanligtvis använder, säger Kurt Baumgartner, säkerhetsforskare på Kaspersky Lab.