L'attaque est signalée, entre autres, par Nokia (en particulier l'équipe d'intervention d'urgence Deepfield), qui a annoncé la détection du Bot du réseau Eleven11bot, qui a servi des pirates à mener une puissante attaque DDOS. Les premières recherches de l'incident indiquent que Botnet Eleven11bot est entré par effraction dans au moins 30 000. Appareils connectés à Internet, tels que les caméras et divers types d'appareils d'enregistrement d'images, ainsi que de nombreux appareils IoT. Certains estiment que tous les logiciels malveillants piratés par ces appareils sont beaucoup plus élevés, car près de 80 000.
La grande majorité des appareils sur lesquels les logiciels malveillants ont pris le contrôle sont situés aux États-Unis (25 000), puis en Grande-Bretagne (10 000), au Canada (4 000) et en Australie (3 000). L'attaque DDOS initiée par Eleven11bot était puissante, bien que son intensité ait été diversifiée pendant sa déchirure. Il a été calculé que les victimes ont été attaquées avec une taille de plusieurs centaines de milliers de colis par seconde, atteignant jusqu'à plusieurs centaines de millions de packages par seconde au sommet.
Jusqu'à présent, plusieurs milliers d'adresses IP ont été identifiées, qui ont servi des pirates à tirer à un moment donné à l'attaque. Plus de la moitié d'entre eux viennent d'Iran. Par conséquent, la conclusion que les pirates responsables de l'attaque proviennent de ce pays et sont probablement étroitement liés à l'intelligence iranienne.
