En términos de cronología, la Unidad 42 indica que el dominio C2 borg[.]wtf se registró el 24 de diciembre del año pasado, y el servidor IRC se conectó posteriormente el 9 de enero. Se han actualizado con frecuencia varios scripts maliciosos, y la campaña tiene un poder de hash de ~ 25.05 KH/s. A partir del 3 de febrero, la Unidad 42 descubrió que se almacenaron 11 XMR (aproximadamente USD 1,500) en la billetera asociada.
Sin embargo, desde la detección inicial del equipo, la campaña ha estado inactiva, lo que llevó a la Unidad 42 a aventurar que "la campaña de amenazas puede estar todavía en la etapa de reconocimiento y preparación". Sin embargo, basándose en un análisis de las capacidades del malware y los entornos de destino, el equipo anticipa que se avecina un ataque a mayor escala, con consecuencias potencialmente de mayor alcance:
"El malware puede aprovechar los abundantes recursos informáticos en los entornos de Kubernetes para el cryptojacking y potencialmente exfiltrar datos confidenciales de decenas a miles de aplicaciones que se ejecutan en los clústeres".