Una nuova variante del loader mostra LokiBot che usa l'hashing delle API e una configurazione C2 crittografata con 3DES per rendere più difficile l'analisi statica.
Una recente campagna LokiBot combina JScript offuscato con PowerShell, mostrando come lo scripting nativo di Windows possa ancora trasportare il furto di credenziali commodity oltre i controlli perimetrali rumorosi.