[1] Según el FBI, este malware pudo ser creado por el grupo de hackers ruso Fancy Bear.
[2][3] VPNFilter está programado para atacar diferentes routers, y se considera que está específicamente diseñado para infectar dispositivos de redes que usan el protocolo Modbus tanto en las comunicaciones como para control industrial de hardware - utilizado en las fábricas y almacenes.
Normalmente, este proceso se consigue utilizando un objeto pequeño y puntiagudo para pulsar un botón de reinicio durante unos 10 a 30 segundos (dependiendo del modelo).
[4] El virus inicial que instala el malware VPNFilter ataca únicamente a dispositivos que ejecutan un firmware basado en Busybox en Linux compilado para procesadores específicos, no incluyendo los ordenadores de sobremesa linux.
El FBI destinó múltiples recursos a una investigación que culminó con el cierre del dominio toknowall.com, el cual se considera que podía haber sido utilizado para redirigir distintas peticiones de la etapa 1 del malware, permitiendo al virus recuperar el código necesario para proceder a las etapas 2 y 3.