O dropper cria dois executáveis na memória: /memfd:tgt, um binário cron inofensivo, e /memfd:wpn, um carregador de rootkit. O carregador verifica o ambiente, executa cargas adicionais e prepara o sistema para uso de rootkit.
Um script temporário, script.sh, é executado em /tmp para concluir a implementação do módulo rootkit do kernel PUMA. O rootkit incorpora o Kitsune SO para facilitar a interação do usuário, garantindo um processo de infecção contínuo e furtivo.
Os principais recursos do módulo do kernel incluem privilégios de elevação, ocultação de arquivos e diretórios, evitando detecção por ferramentas de programa, implementando técnicas anti-depuração e permitindo comunicação com servidores de comando e controle (C2), acrescentaram os pesquisadores.
