Um backdoor anteriormente não documentado foi observado visando sistemas Linux com o objetivo de comprometer máquinas em uma botnet e atuar como um canal para baixar e instalar rootkits.

Observado pela primeira vez se propagando por meio da vulnerabilidade Log4j em 9 de fevereiro de 2022, o malware aproveita uma técnica chamada DNS tunneling para criar canais de comunicação com servidores de comando e controle (C2) codificando dados em consultas e respostas DNS.

O B1txor20, atualmente suporta a capacidade de obter um shell, executar comandos arbitrários, instalar um rootkit, abrir um proxy SOCKS5 e funções para enviar informações confidenciais de volta ao servidor C2.

Depois que uma máquina é comprometida com sucesso, o malware utiliza o túnel DNS para recuperar e executar comandos enviados pelo servidor.