Для захвата контроля над устройствами Интернета вещей применяется вредоносная программа Linux.ProxyM. Этот зловред запускает на инфицированном устройстве SOCKS-прокси-сервер. С его помощью киберпреступники могут анонимно совершать различные деструктивные действия. Известны сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC.

Ранее киберпреступники использовали Linux.ProxyM для рассылки спама и фишинговых сообщений. Теперь же злоумышленники перешли к более активным действиям — массовым попыткам взлома веб-сайтов.

В ходе атак на интернет-ресурсы применяются различные методы. Это, в частности, SQL-инъекции — внедрение в запрос к базе данных сайта вредоносного SQL-кода. Ещё один способ — XSS (Cross-Site Scripting), заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы. Наконец, применяется метод (Local File Inclusion), который позволяет злоумышленникам удалённо читать файлы на атакуемом сервере с помощью сформированных специальным образом команд.

Среди подвергшихся атакам ресурсов замечены игровые серверы, форумы, а также сайты другой тематической направленности