Сайт freedownloadmanager[.]org пропонував безпечну версію програми для Linux, відомої як Free Download Manager. Починаючи з 2020 року, той самий домен час від часу перенаправляв користувачів на домен deb.fdmpkg[.]org, який обслуговував уже шкідливу версію програми.
Версія, доступна на шкідливому домені, містила скрипт, який завантажував два виконувані файли за адресами /var/tmp/crond і /var/tmp/bs, передає ArsTechnica. Потім скрипт використовував планувальник завдань cron, щоб змусити файл у /var/tmp/crond запускатися кожні 10 хвилин. Таким чином, пристрої, на яких було встановлено шкідливу версію Free Download Manager, назавжди отримували бекдор.
Отримавши доступ до IP-адреси шкідливого домену, бекдор запускав зворотну оболонку, яка давала зловмисникам віддалено керувати зараженим пристроєм. Шкідливе ПЗ помітили дослідники з Kaspersky (компанія, яка перебуває під санкціями в Україні), потім вони запустили бекдор на лабораторному пристрої, щоб спостерігати за його поведінкою.
Цей троян збирає дані про системну інформацію, історію переглядів, збережені паролі, файли криптовалютних гаманців, а також облікові дані для хмарних сервісів (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure). 
З невідомих причин троян перестав розповсюджуватися у 2022 році. Проте цей інцидент ставить питання щодо твердження, що на Linux вірусів не існує, а якщо й існують, то ще треба добре постаратися, щоб його запустити.