ArsTechnican mukaan HiddenWaspiksi nimetty haittaohjelma osaa vältellä peräti 59 erilaista virustorjuntaohjelmistoa. Tällä hetkellä ei ole tietoa, kuinka moni kone on jo saastunut. Koodia tutkimalla tietoturvayhtiö Intezer on päätellyt, että HiddenWasp on kehitetty vasta tämän vuoden huhtikuun aikana.

Suurin osa Linux-haitakkeista on luotu auttamaan joko palvelunestohyökkäyksissä tai louhimaan kryptovaluuttaa. HiddenWasp puolestaan pyrkii hallitsemaan uhrikonetta laajemmin. Tarkkaa tietoa siitä mihin uhrikoneita aiotaan käyttää ei ole, sillä HiddenWasp saa ohjausta komentopalvelimelta, jonka antamat käskyt voivat muuttua miksi tahansa. Ilmeisesti HiddenWaspia hyödynnetään vain järjestelmissä, joihin on päästy sisään jo aiemmin.

HiddenWasp tuntuu olevan todellinen hybridi aiemmin nähdyistä hyökkäyksistä. Osa koodista on napattu Miraista, jonka lähdekoodi julkaistiin 2016. Muina lähteinä ovat toimineet Azazel-rootkit, ChinaZ Elknot, ja Winnti:n Linux-versio.

Oman tilanteensa voi tarkistaa suhteellisen helposti. Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp.