Mais de 4.000 backdoors exclusivos previamente implantados por diversos agentes maliciosos foram sequestrados por meio do controle de infraestruturas abandonadas e domínios expirados, com custos que chegam a apenas US$ 20 por domínio. Pesquisadores identificaram mais de 40 domínios usados por esses backdoors como infraestrutura de comando e controle (C2). Com o apoio da Shadowserver Foundation, esses domínios foram redirecionados (sinkholed) para evitar novos abusos, o que em teoria poderia permitir até mesmo o controle total das máquinas comprometidas.

Os sistemas afetados incluem conexões de entidades governamentais em Bangladesh, China e Nigéria, além de instituições acadêmicas localizadas na China, Coreia do Sul e Tailândia. Os backdoors sequestrados incluem web shells, ferramentas comumente utilizadas por agentes maliciosos para manter acesso remoto persistente a redes-alvo e possibilitar ataques adicionais. Esses web shells variam em complexidade, desde scripts simples que executam comandos fornecidos pelos atacantes até ferramentas mais sofisticadas, como c99shell, r57shell e China Chopper, amplamente associada a grupos de ameaça persistente avançada (APT) ligados à China.

Essa operação ocorreu poucos meses após a watchTowr Labs revelar que gastou apenas US$ 20 para adquirir um domínio de servidor WHOIS legado (whois.dotmobiregistry[.]net), anteriormente vinculado ao domínio de nível superior (TLD) .mobi. Durante a pesquisa, foi descoberto que mais de 135.000 sistemas ainda estavam se comunicando com esse servidor, mesmo após sua migração para o novo endereço (whois.nic[.]mobi). Entre os sistemas identificados estavam empresas privadas, servidores de e-mail de governos e entidades militares de países como Argentina, Bangladesh, Índia, Indonésia, Israel, Ucrânia e Estados Unidos.