O novo ataque ocorre apenas algumas semanas após a Trend Micro ter relatado as últimas atividades do Mirai, que afetaram diversos roteadores. Vários exploits do ataque anterior também foram usados nessa variante. O malware usou diferentes meios de propagação e também revelou o uso de três chaves XOR para criptografar dados. A companhia também identificou diferentes URLs usadas por esta variante, sendo que a primeira serviu como um servidor de comando e controle (C&C), enquanto as outras eram links de download e dropper.
A Trend Micro identificou ainda como a variante se espalha. Os três primeiros exploits são scanners de vulnerabilidades específicas encontradas no framework de desenvolvimento web ThinkPHP e em alguns roteadores Huawei e Linksys. Os scanners para as outras 10 vulnerabilidades foram encontradas dentro da função exploit_worker(). A companhia divulgou uma lista dos exploits e outros ataques, sendo que 11 deles já haviam sido usados em 2018 pela variante Omni. Também foi publicada uma lista com URLs maliciosas relacionadas aos ataques.