L'infection a été réalisé le 12 Août et découverte seulement 17 jours plus tard. C'est à l'aide d'un compte utilisateur compromis que l'attaque des serveurs a pu être possible.
Cependant, du côté des sources du kernel Linux, tout va bien, puisque les dépôts actuellement utilisés pour le stockage des codes sources sont protégées en accès. Cependant pour plus de sûreté, l'intégralité des fichiers sources du noyau et des diverses branches de développement sont actuellement scannés (vérification de Hash SHA-1) pour vérifier qu'il n'y a eu aucune modification.
Comme le code source de Linux est géré par Git (Gestion de document source et de version), normalement, même si il y a eu intrusion et modifications de fichiers, les workflows associés auraient dû prévenir les développeurs, ce qui n'a, a priori pas été le cas.
Espérons que les résultats de ces différentes analyses seront probantes et que rien dans le noyau n'aura été modifié, ou détruit.