Aanvallers maken gebruik van gehackte WordPress-sites om filmpiraten met malware te infecteren. De aanvallers proberen op WordPress-sites met zwakke wachtwoorden in te loggen. Zodra dit succesvol is worden er pagina's aangemaakt die torrentbestanden voor allerlei nieuwe films aanbieden.

Als gebruikers vervolgens via zoekmachines naar torrentbestanden voor deze films zoeken, kunnen ze bij de gehackte WordPress-sites uitkomen. Als gebruikers het aangeboden torrentbestand downloaden eindigen ze met een bestand met een video-extensie en een installer voor een videocodec. De installer laadt echter een kwaadaardig dll-bestand, dat de Sathurbot is.

Deze malware kan aanvullende malware op het systeem installeren, zo waarschuwt het Slowaakse anti-virusbedrijf ESET. Ook worden besmette computers gebruikt voor het aanvallen van WordPress-sites en het verspreiden van de malware via het torrentnetwerk. De links naar de kwaadaardige torrentbestanden worden ook via e-mail verspreid. Inmiddels zouden zo'n 20.000 computers met de Sathurbot zijn besmet.