Nhóm nghiên cứu của XLab cho biết: "Về mặt chức năng, Zergeca không chỉ là một botnet thực hiện tấn công DDoS thông thường; ngoài việc hỗ trợ sáu phương pháp tấn công khác nhau, nó còn có khả năng tạo proxy, rà quét, tự nâng cấp, duy trì, truyền tệp, reverse shell và thu thập các thông tin nhạy cảm trên thiết bị".
Một điểm đáng chú ý của Zergeca là mạng botnet này sử dụng DNS-over-HTTPS (DoH) để thực hiện phân giải DNS của máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng một thư viện ít được biết đến là Smux cho liên lạc C2.
Có bằng chứng cho thấy Zergeca đang không ngừng phát triển và cập nhật để hỗ trợ các lệnh mới. Hơn nữa, địa chỉ IP C2 84[.]54[.]51[.]82 được cho là đã từng được sử dụng để phân phối botnet Mirai vào khoảng tháng 9/2023. Với việc cùng một địa chỉ IP được sử dụng làm máy chủ C2 cho mạng botnet mới, làm dấy lên khả năng rằng những kẻ tấn công đã có kinh nghiệm vận hành mạng botnet Mirai trước khi tạo ra Zergeca.
Các cuộc tấn công do botnet này thực hiện chủ yếu là tấn công DDoS ACK flood với các mục tiêu nhắm vào Canada, Đức và Hoa Kỳ trong khoảng nửa đầu tháng 6/2024.
Các tính năng của Zergeca bao gồm bốn module riêng biệt, bao gồm duy trì tính bền vững, thiết lập proxy, SiliVaccine (diệt virus) và zombie. Zergeca thiết lập tính bền vững bằng cách thêm dịch vụ hệ thống, triển khai proxy, loại bỏ phần mềm độc hại và backdoor khác để giành quyền kiểm soát duy nhất đối với các thiết bị chạy trên CPU x86-64 và xử lý chức năng botnet chính.
Modul zombie có trách nhiệm báo cáo các thông tin nhạy cảm từ thiết bị bị xâm nhập đến C2 và chờ lệnh từ máy chủ, hỗ trợ sáu loại tấn công DDoS, rà quét, reverse shell và các chức năng khác.
XLab cho biết các kỹ thuật như đóng gói UPX, mã hóa XOR cho các chuỗi dữ liệu nhạy cảm và sử dụng DoH để ẩn liên lạc C2 cho thấy sự hiểu biết sâu sắc của tin tặc về các chiến thuật để trốn tránh sự giám sát và phát hiện từ các giải pháp bảo mật.