A keresztségben a TROJAN.MSIL.BERBOMTHUM.AA nevet kapó kártevő működési módjában a twitteres aktiválás volt az egyetlen újdonság.A Berbomthum.AA esetében az az érdekes, hogy az irányítására használt szolgáltatás teljesen legitim volt. Egy 2017-ben regisztrált, mémfotókat megosztó Twitter fiók tartalmazta az utasításokat. A hálózat felfedezése után azt a Twitter fiókot december 13-án törölték, így megbénítva a hálózatot - írja a Magyar Narancs A TrendMicro kutatói arra jutottak, hogy a kártevő más módon is be tudta szerezni az irányítószerver címét. Például a Pastebin nevű egyszerű szövegmegosztó szolgáltatás egyik dokumentuma is bele volt kódolva a programba.Az elemzés során szétszedett parancsokat rejtő képek képernyőmentés készítésére, a futó programok listázására, a felhasználónév elküldésére, illetve fixen rögzített helyeken (például ilyen a Dokumentumok mappa vagy az Asztal) tárolt dokumentumok listájának elküldésére tartalmaztak parancsokat.