این بدافزار، به عنوان یک فایل اجرایی باینری یکپارچه با مولفه‌های قابل اتصال عمل می‌کند و به نظر می‌رسد با عملیات‌های حملات APT تطابق دارد. برخی از ماژول‌های این بدافزار عبارتند از:
•    Configuration storage: پیکربندی بدافزار را به صورت رمزگذاری شده ذخیره می‌کند.
•    Upgrade/Uninstall: به روز رسانی یا حذف را بر اساس دستورات سرور C2 مدیریت می‌کند.
•    Reverse proxy: اجازه دسترسی از راه دور به شبکه قربانی را می‌دهد. 
•    Miscellaneous command handler: دستورات مختلف اعم از اجرای پاورشل و ذخیره اسکرین‌شات را اجرا می‌کند.
•    Credential harvester: داده‎های حساس کاربران مانند کلمات عبور و نام‌های کاربری افراد را اسکن و جمع‌آوری می‌کند.
•    Repeatable tasks : وظایف خاصی را تحت شرایط خاصی انجام می‌دهد، برای نمونه ضبط صدا.
•    Recon module : اطلاعات دقیق سیستم را به سرور C2 ارسال می‌کند.
•    SSH infector: از اعتبارنامه‌های SSH برای نفوذ به سیستم‌های دیگر استفاده می‌کند.
•    SMBv1 infector: با استفاده از اکسپلویت سفارشی EternalBlue به سایر سیستم‌های ویندوز نفوذ می‌کند. این کار ممکن است با استفاده از آلودگی از طریق کرم‌ها باشد. 
•    Monero mining module : استخراج monero، در حالی که به عنوان فرآیند در chrome.exe استتار شده است.
حضور ماینر کریپتو Monero باعث انحراف افکاری عمومی برای ماهیت واقعی این بدافزار شده بود. در ابتدا StripedFly  به عنوان یک بدافزار استخراج ارز دیجیتال در نظر گرفته می‌شد. این تصور ناشی از این واقعیت بود که بدافزار دارای ماینر Monero بود که از پردازنده سیستم آلوده برای استخراج ارز دیجیتال استفاده می‌کرد. با این حال، تحقیقات بیشتر نشان داد که StripedFly توانایی‌های دیگری نیز دارد. در گزارش کسپرسکی اشاره شده است که پیلود بدافزار شامل مولفه ‌های مختلفی است که هر یک برای هدفی خاص طراحی شده‌اند. این مولفه‌ها به تفکیک اهدافشان عبارتند از:
•    مولفه استخراج Monero؛
•    مولفه سرقت اطلاعات؛
•    مولفه بهره‌برداری از آسیب‌پذیری‌های سیستم؛
•    مولفه اجرای حملات باج‌افزاری.
علت وجود مولفه استخراج Monero آن است که ارز دیجیتالMonero، تا اواسط سال 2018 به اوج ارزش خود رسید (542.33 دلار) ؛ این در حالی است که در سال 2017، 10 دلار بود. ارزش بالای ارز دیجیتال Monero  باعث می‌شود که استخراج این ارز برای مهاجمان جذاب باشد. لیکن وجود این مولفه برای بدافزار مزیتی دیگر داشت. کارشناسان امنیتی تاکید دارند که ماژول استخراج، عامل اصلی بود که باعث شد بدافزار، برای مدت طولانی قابل شناسایی نباشد. مهاجمان از مولفه استخراج Monero برای پنهان کردن فعالیت‌های مخرب خود استفاده می‌کردند. 
همچنین ارتباطاتی میان این بدافزار و باج افزارThunderCrypt   شناسایی شد که نشان می‌دهد ممکن است هر دو بدافزار توسط یک گروه توسعه‌دهنده ایجاد شده باشند. متاسفانه این امر بیانگر آن است که مهاجمان می‌توانند از چندین بدافزار برای رسیدن به اهداف خود استفاده کنند. 
با توجه به گستردگی بدافزار توصیه می‌شود سیستم خود را نسبت به وجود علائم آلودگی به این بدافزار بررسی نمایید. 
ارتباط با سرور فرماندهی و کنترل:

gpiekd65jgshwp2p53igifv43aug2adacdebmuuri34hduvijr5pfjad[.]onion ghtyqipha6mcwxiz[.]onion

ajiumbl2p2mjzx3l[.]onion

ارتباطات شبکه‌ای با:

bitbucket[.]org/JulieHeilman/m100-firmware-mirror/downloads/
bitbucket[.]org/upgrades/um/downloads/
bitbucket[.]org/legit-updates/flash-player/downloads
gitlab[.]com/JulieHeilman/m100-firmware-mirror/raw/master/
gitlab[.]com/saev3aeg/ugee8zee/raw/master/
github[.]com/amf9esiabnb/documents/releases/download/
tcp://pool.minexmr[.]com:4444
tcp://mine.aeon-pool[.]com:5555
tcp://5.255.86[.]125:8080
tcp://45.9.148[.]21:80
tcp://45.9.148[.]36:80
tcp://45.9.148[.]132:8080

وجود فایل‌هایی با هش‏های زیر در سیستم:

system.img

b28c6d00855be3b60e220c32bfad2535 18f5ccdd9efb9c41aa63efbe0c65d3db 2cdc600185901cf045af027289c4429c 54dd5c70f67df5dc8d750f19ececd797 d32fa257cd6fb1b0c6df80f673865581 c04868dabd6b9ce132a790fdc02acc14 c7e3df6455738fb080d741dcbb620b89 d684de2c5cfb38917c5d99c04c21769a a5d3abe7feb56f49fa33dc49fea11f85 35fadceca0bae2cdcfdaac0f188ba7e0

delta.dat

00c9fd9371791e9160a3adaade0b4aa2 41b326df0d21d0a8fad6ed01fec1389f

delta.img

506599fe3aecdfb1acc846ea52adc09f 6ace7d5115a1c63b674b736ae760423b

ota.dat

2e2ef6e074bd683b477a2a2e581386f0 04df1280798594965d6fdfeb4c257f6c

ota.img

abe845285510079229d83bb117ab8ed6 090059c1786075591dec7ddc6f9ee3eb

ThunderCrypt

120f62e78b97cd748170b2779d8c0c67 d64361802515cf32bd34f98312dfd40d