RSA FraudAction Research Lab mette in luce le caratteristiche uniche di una minaccia che si diffonde come un Worm e colpisce come un Trojan: è stato chiamato Qakbot Trojan, anche se non è tecnicamente un Trojan puro.
Qakbot è particolarmente pericoloso per la sicurezza delle aziende, in particolare delle grandi istituzioni finanziarie. Sono queste infatti, soprattutto negli Stati Uniti, il bersaglio preferito di questa minaccia, che si comporta in modo atipico: essa infatti colpisce quasi esclusivamente i conti aziendali di queste grandi realtà (banche) e, solo in misura decisamente inferiore, aziende che operano in altri mercati.
Se non si tratta del primo né dell'unico Trojan a colpire questo tipo di realtà, quelle che generalmente trattano somme di denaro particolarmente elevate, è sicuramente l'unico che mostra evidente questa "preferenza" a livello di progettazione, senza eccezioni.
Non è ancora chiaro come Qakbot riesca a trasferire denaro dai conti bancari di queste istituzioni.
Finora, il team di ricerca RSA non ha identificato code injection HTML o JavaScript e nemmeno attacchi Man-in-the-Browser, le classiche modalità di attacco verso i meccanismi di autenticazione a doppio fattore che solitamente proteggono questi conti.
Nonostante questo, è probabile che Qakbot abbia una sorta di modulo per completare attacchi in real-time, perché altrimenti non riuscirebbe ad insidiare questi conti aziendali.
Un'altra caratteristica peculiare di Qakbot è la sua apparenza: esso si presenta come la classica minaccia multiforme, disegnata per diffondersi come un Worm – infettando più macchine contemporaneamente – ed al tempo stesso sottraendo dati come ogni altro Trojan.
Qakbot si indirizza verso reti condivise, copiando i suoi file eseguibili in directory condivise, una tecnica che gli consente di diffondersi attraverso  i  network aziendali, rendendo di fatto vulnerabile ogni PC collegato alla rete. Anche se non del tutto inedita, la combinazione Worm/Trojan è rara e molto efficace.
Infine, Qakbot è una minaccia estremamente organizzata. È il primo Trojan a separare le credenziali mirate dalle altre informazioni sottratte, già nel computer della vittima. Una volta effettuata questa distinzione, le credenziali mirate vengono inviate al drop server di Qakbot, mentre le credenziali sottratte ad altre realtà, non specificatamente rilevanti per Qakbot, vengono caricate su account FTP deviati, che si trovano su FTP server legittimi.
Va detto infine che la distribuzione di Qakbot è ancora piuttosto limitata, e ciò fa pensare si tratti di una minaccia ideata e guidata da un singolo cyber criminale o da un unico gruppo di lavoro, rispetto a quelle che sono disponibili commercialmente sul mercato sotterraneo.
Nonostante questo, le sue caratteristiche uniche lo rendono un ladro virtuale molto temibile.