A botnet se utilizou, na época, da largura de banda coletiva de aproximadamente 100 mil dispositivos IoT invadidos, explorando vulnerabilidades em vários roteadores sem fio, gravadores de vídeo digital, câmeras de segurança conectadas à Internet e dispositivos de rede de fibra ótica. A primeira aparição da Satori foi em 2016, baseada no código-fonte vazado da Mirai, sendo responsável por um dos maiores ataques de negação de serviço já registrados, incluindo um ataque que deixou o KrebsOnSecurity offline por quase quatro dias, registra o site.
Schuchman aprimorou os trabalhos no ano seguinte junto com seus colegas, cujos apelidos são "Vamp” e “Drake” — e assim a Satori passou a explorar falhas de segurança em diversos aparelhos conectados IoT. Ele confessou ainda que o objetivo da conspiração era vender o acesso às redes de bots a quem desejasse alugá-las para lançar ataques contra outras pessoas. Aparentemente, a descoberta dos demais envolvidos está bem próxima após a confissão de Kenneth Currin Schuchman, que ainda não teve sua sentença definida.