Den skadliga programvaran är en uppdaterad variant av Gafgyt, en programvara som är känd sedan tidigare attacker. Gafgyt infekterar trådlösa routrar som används för hemmet och på mindre kontor, från kända tillverkare som Huawei, Zyxel och Realtek.
Gafgyt används för att sätta upp ett botnet, i det här fallet routrar som tillsammans används för att skapa en överbelastningsattack, en DoS (Denial of Service). Användandet av dessa botnets säljs till vem som helst via Instagramkonton. De kan då användas för en överbelastningsattack mot valfritt mål. Den minsta kostnaden för en attack är så låg som 8 dollar, visar Palo Alto Networks research.
Gafgyts botnet används för att attackera spelservrar som använder Valve Source, en spelmotor som kör spel som Half-Life och Team Fortress 2 med flera. Den attackerar dessutom andra spelservrar som kör populära spel, bland annat Fortnite.
Spelservrar har blivit populära mål för attacker på senare år. Attackerna genomförs främst för att sabotera och ge igen. Eftersom överbelastningsattacker blivit så billiga och de kan genomföras utan någon större teknisk kunskap menar Palo Alto Networks att de sannolikt blir vanligare i framtiden.
Routrar har i flera år varit en av de vanligaste måltavlorna för hackare. När de används för botnet skadar de ägaren genom att försämra prestandan och göra att IP-adressen riskerar att svartlistas.
Gafgyt upptäcktes redan 2014 och används nu i en ny version. Programvaran utnyttjar sedan tidigare kända säkerhetshål i routermodellernas programvara. Gafgyt ser också till att ta bort eventuella andra botnet som redan finns på routrarna, som till exempel Mirai.