Термин sinkholing означает захват исследователями контроля над ботнетом и отдачи команд зараженным машинам на подключение к альтернативным серверам.

В ботнете использовалась одноранговая система контроля в отличие от схемы «сверху вниз», когда боты ждут команд от ограниченного круга серверов. Исследователи расшифровали протокол связи между машинами и добавили в ботнет свои узлы с фальшивым списком пиров, указывающим на управляющие серверы. Список распространился по ботнету, в результате чего зараженные компьютеры начали ждать команд от систем, подконтрольных исследователям. По их утверждению, они захватили ботнет за считанные минуты, благодаря чему реальным операторам не хватило времени на противодействие.

По данным компании Seculert, раньше создатели Kelihos для строительства ботнета пользовались вредоносными программами, распространяемыми по Facebook. По сведениям Dell SecureWorks, сейчас используется другая схема — злоумышленники платят подрядчикам за каждую зараженную систему.