Für den Mißbrauch als Nameserver brauchten die Forenserver nicht kompromittiert werden: Die Hacker versteckten die IP-Adressen einfach in codierter Form in Postings und Profilinformationen des TechNet – so sind sie für mit der Backdoor Blackcoffe infizierte Systeme immer sicher erreichbar.
Im TechNet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION eingebaut. Im Netzwerk mit dem infizierten Server tauchen bei Anfragen dazu immer nur die legitimen IP-Adressen zum Beispiel von TechNet auf.
Die Malware Blackcoffee wurde schon 2013 entdeckt und versucht schon immer, ihre Verbindungen als “normalen” Netzwerkverkehr zu tarnen, beispielsweise Anfragen an Suchmaschinen.
Der amerikanische Geheimdienst CIA, der die IT-Sicherheitsfirma FireEye finanziell unterstützt, ordnet Blackcoffe chinesischen Hackern zu.