Die Malware verfügt über Anti-Debugging-Funktionen zur Abwehr von Analysen, verschleierte Zeichenketten zur Tarnung, fest einprogrammierte Passwörter für verdeckten Zugang sowie die Fähigkeit, Spuren von Angriffssitzungen zu verbergen. Nach dem Laden entfernt Plague SSH-bezogene Umgebungsvariablen und leitet die Befehlshistorie nach "/dev/null" um, sodass keine Protokolle entstehen und der digitale Fußabdruck des Angreifers verschwindet.

Hinterlässt keine Spuren

Plague integriert sich tief in den Authentifizierungsprozess, überlebt Systemupdates und hinterlässt kaum forensische Spuren, erklärte Sicherheitsforscher Pierre-Henri Pezier. Die Verschleierungstechniken und das gezielte Entfernen von Sitzungsdaten würden die Entdeckung besonders schwierig machen. 

Analysefunde zeigen, dass die Malware kontinuierlich weiterentwickelt wurde – Kompilierungsartefakte deuten auf eine lange aktive Entwicklungszeit und verschiedene Linux-Distributionen hin. Trotz mehrfacher Uploads auf VirusTotal im vergangenen Jahr schlugen keine Antivirus-Engines Alarm – ein Hinweis auf die Effektivität der Tarnung.