L'ultima variante del malware abbina impostazioni incorporate nelle risorse a offuscamento Base64 e XOR, rendendo più difficile individuare il suo piano di controllo senza un triage binario più approfondito.
Un trojan di accesso remoto per Windows legato a un modello MaaS viene associato al tasking tramite Telegram Bot API e a un passaggio da .NET al codice nativo C++.
L'analisi di Group-IB di Millenium RAT v4.* collega 62.289 infezioni Windows in oltre 160 paesi alla comunicazione con bot di Telegram, una combinazione che può confondere il traffico malevolo all'interno del normale uso del cloud.