As descobertas são uma continuação da análise de infraestrutura do malware da Team Cymru, e chegam pouco mais de dois meses depois após uma pesquisa que evelou que 25% de seus servidores C2 estão ativos apenas por um único dia.

O QakBot tem um histórico de fazer uma pausa prolongada a cada verão antes de retornar em algum momento em setembro, com as atividades de spam deste ano cessando por volta de 22 de junho de 2023.

A maioria dos servidores C2 do bot, que se comunicam com os hosts da vítima, está localizada na Índia e os endereços IP de destino dos EUA identificados a partir de conexões T2 de saída estão baseados principalmente nos EUA, Índia, México e Venezuela.

Fora os 15 servidores C2, seis servidores C2 ativos desde antes de junho e dois servidores C2 que ganharam vida em junho continuaram a exibir atividade em julho após a conclusão do spam.

Ao elevar as vítimas para serem usadas como infraestrutura C2 com comunicação T2, o QakBot efetivamente pune os usuários duas vezes, primeiro no comprometimento inicial e segundo no risco potencial à reputação de um host ser identificado publicamente como malicioso.