14.000 bộ định tuyến bị nhiễm phần mềm độc hại có khả năng chống lại việc gỡ bỏ rất cao.

Bảng băm phân tán (DHT) từ lâu đã được sử dụng để tạo ra các mạng ngang hàng (peer-to-peer) có khả năng bảo mật cao, nổi bật nhất là BitTorrent và Hệ thống Tệp Liên Hành tinh (Inter-Planetary File System ). Thay vì có một hoặc nhiều máy chủ tập trung trực tiếp điều khiển các nút và cung cấp cho chúng địa chỉ IP của các nút khác, DHT cho phép bất kỳ nút nào cũng có thể truy vấn các nút khác để tìm thiết bị hoặc máy chủ mà nó đang tìm kiếm. Cấu trúc phi tập trung và việc thay thế địa chỉ IP bằng hàm băm mang lại cho mạng khả năng chống chịu trước các cuộc tấn công làm sập hệ thống hoặc tấn công từ chối dịch vụ.

Khái niệm về DHT có thể khó nắm bắt. Ở mức độ đơn giản, chúng là các cấu trúc dữ liệu được lưu trữ trên nhiều nút mạng, như được mô tả ở đây . Thiết kế này giúp mạng có khả năng mở rộng. Càng nhiều nút mạng, sự phân phối các phần tử càng tốt. DHT cũng giúp mạng có khả năng chịu lỗi. Khi một nút rời khỏi mạng, các nút khác sẽ tìm kiếm vị trí ở nơi khác. Về lý thuyết, cách duy nhất để làm sập mạng là cắt đứt tất cả các nút được kết nối.

Kademlia sử dụng không gian 160 bit để chỉ định (1) các khóa—là các chuỗi bit duy nhất được tạo ra bằng cách băm một khối dữ liệu—và (2) ID nút, cả hai đều được gán cho mỗi nút. Sau đó, các nút lưu trữ các khóa của các nút khác. Các khóa được lưu trữ được sắp xếp theo độ tương đồng của chúng với ID của nút lưu trữ chúng. Độ gần được đo bằng khoảng cách XOR , một phương pháp toán học để lập bản đồ mạng. Khi một nút thăm dò một nút khác, nó sử dụng số liệu này để định vị các nút khác có khoảng cách gần nhất với khóa mà nó đang tìm kiếm cho đến khi cuối cùng tìm thấy sự trùng khớp. KadNap, một biến thể của Kademlia, lấy khóa cần tìm kiếm thông qua một nút BitTorrent.

Formosa giải thích:

DHT giúp bạn tiến gần hơn đến mục tiêu. Đầu tiên, bạn liên hệ với một số nút bittorrent đầu vào và về cơ bản nói rằng “Này, tôi có mật khẩu bí mật này. Tôi đang tìm người để đưa nó cho.” Vì vậy, bạn đưa nó cho một vài “hàng xóm” gần đó và họ nói “À, được rồi, tôi không hoàn toàn hiểu mật khẩu này nhưng nó khá quen thuộc và đây là một số người có thể biết nó có nghĩa là gì.” Vì vậy, bây giờ bạn đến những người hàng xóm đó và quá trình tiếp tục. Cuối cùng, bạn liên hệ được với một người nói “Vâng! Đây là mật khẩu của tôi, chào mừng bạn.” Trong trường hợp của chúng ta, khi chúng ta liên hệ được với người này, họ nói đây là một tệp để truy cập cổng tường lửa 22 và sau đó đây là một tệp thứ hai chứa địa chỉ C2 mà bạn muốn kết nối.

Bất chấp sự kháng cự đối với các phương pháp vô hiệu hóa thông thường, Black Lotus cho biết họ đã nghĩ ra một phương pháp để chặn tất cả lưu lượng mạng đến hoặc đi từ cơ sở hạ tầng điều khiển. Phòng thí nghiệm này cũng đang phân phối các dấu hiệu xâm nhập lên các kênh thông tin công cộng để giúp các bên khác chặn quyền truy cập.