Trojan, nazwany Linux.Lady.1, potrafi wykonywać takie działania jak: ustalenie zewnętrznego adresu IP zainfekowanego komputera, atakowanie innych komputerów oraz pobranie i uruchomienie oprogramowania do wydobywania kryptowaluty. Linux.Lady.1 został napisany w języku programowania Go, opracowanym przez Google. Mimo że analitycy bezpieczeństwa Doctor Web zetknęli się już z trojanami napisanymi w Go, to te złośliwe programy nie były zazwyczaj wykrywane “na wolności”. Architektura trojana zawiera kilka bibliotek opublikowanych w GitHub — najpopularniejszym serwisie dla twórców aplikacji opartym na zasadach pracy grupowej.
Gdy Linux.Lady.1 zostanie uruchomiony, wysyła następujące informacje na serwer kontrolno-zarządzający: bieżącą wersję systemu Linux i nazwę rodziny do której należy dany system operacyjny, liczbę procesorów (CPU), nazwy i liczbę uruchomionych procesów, itd. Trojan otrzymuje plik konfiguracyjny niezbędny do pobrania i uruchomienia programu do wydobywania kryptowaluty w celu generowania dochodu, który w następnym kroku zostaje przesłany do portfela elektronicznego (e-wallet) należącego do cyberprzestępców. Linux.Lady.1 potrafi również ustalić zewnętrzny adres IP zainfekowanego komputera używając w tym celu specjalnych stron www, określonych w pliku konfiguracyjnym i zaatakować inne komputery w sieci. Trojan próbuje podłączyć się do zdalnych serwerów poprzez port używany przez serwer magazynu struktur danych Redis (remote dictionary server), bez wprowadzania hasła, licząc na to, że system nie został poprawnie skonfigurowany. Jeśli połączenie zostanie zestawione, malware dodaje do ustawień mechanizmu cron skrypt typu downloader, nazwany Linux.DownLoader.196. Skrypt ten pobiera kopię Linux.Lady.1 i instaluje ją na atakowanym hoście. Następnie trojan dodaje do listy autoryzowanych kluczy szyfrujących klucz służący do łączenia się z tym komputerem poprzez protokół SSH.