Mereka berspekulasi server di-host pada perangkat QNAP yang dikompromikan dengan TOR exit nodes digunakan sebagai infrastruktur C2 tambahan. "Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware. Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2," kata laporan itu.
Tetapi salah satu pertanyaan kunci tetap tidak terjawab - apa gunanya? Karena para peneliti belum menemukan permainan akhir malware. “Tidak adanya informasi tambahan tentang aktivitas tahap selanjutnya, sulit untuk membuat kesimpulan tentang tujuan atau sasaran kampanye ini,” kata pakar tersebut.
Terlebih lagi, mereka menemukan itu menginstal file DLL berbahaya, mungkin untuk membangun kegigihan. "Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya. Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun kegigihan pada sistem yang terinfeksi, meskipun informasi tambahan diperlukan untuk membangun kepercayaan pada hipotesis itu," kata para peneliti.