بدافزار PumaBot که به زبان Go نوشته شده است، دستگاه‌های اینترنت اشیا مبتنی بر لینوکس تعبیه‌شده را هدف قرار می‌دهد. این بات‌نت با دریافت فهرست اهداف از سرور کنترل و فرماندهی، حملات brute-force علیه SSH انجام می‌دهد تا اعتبارنامه‌ها را به سرقت ببرد و بدافزارهای اضافی را در سیستم‌های آلوده نصب کند. پس از دسترسی موفق، خود را در مسیر /lib/redis جای‌گذاری کرده و با ایجاد سرویس systemd مانند redis.service یا mysqI.service، پایداری خود را تضمین می‌کند.

این بدافزار بخشی از کمپین گسترده‌تری است که شامل ابزارهای مختلفی مانند ddaemon، networkxm، و فایل‌های rootkit می‌شود که برای استخراج ارز دیجیتال غیرقانونی و سرقت اعتبارنامه‌ها استفاده می‌شوند. بدافزار با جایگزینی فایل pam_unix.so اصلی و نظارت بر فعالیت‌های ورود، اطلاعات حساس را به سرور مهاجم ارسال می‌کند. برای محافظت، کاربران باید فعالیت‌های مشکوک SSH را نظارت کنند، سرویس‌های systemd را بررسی کنند و قوانین سخت‌گیرانه فایروال اعمال کنند.