A botnet Glupteba incorporou uma característica de bootkit Unified Extensible Firmware Interface (UEFI) até então não documentada, adicionando uma nova camada de sofisticação e furtividade ao malware.

Este bootkit pode intervir e controlar o processo de inicialização do sistema operacional, permitindo que o Glupteba se esconda e crie uma persistência furtiva que pode ser extremamente difícil de detectar e remover. Glupteba é um ladrão de informações e backdoor totalmente equipado, capaz de facilitar a mineração ilícita de criptomoedas e implantar componentes de proxy em hosts infectados.

Também é conhecido por utilizar o blockchain do Bitcoin como um sistema de comando e controle (C2) de backup, tornando-o resistente a esforços de desativação. Algumas das outras funções permitem que ele entregue cargas úteis adicionais, sifone credenciais e dados de cartão de crédito, realize fraudes de anúncios e até explore roteadores para obter credenciais e acesso administrativo remoto.

Como sinal de que o malware está sendo ativamente mantido, o Glupteba vem equipado com um bootkit UEFI incorporando uma versão modificada de um projeto de código aberto chamado EfiGuard, capaz de desativar o PatchGuard e a Execução de Assinatura de Driver (DSE) no momento da inicialização.