Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.
Die Malware, die bereits 2013 entdeckt wurde holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server.
Wie es heißt hat Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.