Het registreren van verlopen domeinnamen maakt het mogelijk om toegang tot allerlei gebackdoorde backdoors op systemen te krijgen, zo stellen onderzoekers van securitybedrijf watchTowr op basis van eigen onderzoek. De onderzoekers merken op dat veel van de backdoors die cybercriminelen gebruiken zelf ook van een backdoor zijn voorzien, waardoor de ontwikkelaar van de backdoor toegang tot systemen kan krijgen die door anderen zijn gecompromitteerd. Het gaat in veel gevallen om webshells die op gecompromitteerde webservers worden geïnstalleerd en aanvallers toegang tot de server geven.

Voor de communicatie met de backdoors wordt vaak gebruikgemaakt van domeinnamen die vaak hardcoded in de betreffende backdoor staan. De onderzoekers analyseerden allerlei backdoors en zochten daarbij naar gebruikte domeinnamen, waarvan een groot aantal verlopen was. Het zou om meer dan vierduizend unieke backdoors gaan die nog actief op systemen zijn, maar waarvan de domeinnaam is verlopen of de gebruikte infrastructuur niet meer actief wordt gebruikt.

De onderzoekers registreerden tientallen van deze domeinnamen en zagen vervolgens allerlei requests van gecompromitteerde systemen binnenkomen. Het ging onder andere om systemen van overheden in Bangladesh, China en Nigeria, alsmede verschillende universiteiten. De onderzoekers hebben de geregistreerde domeinnamen aan The Shadowserver Foundation overgedragen, een stichting die zich bezighoudt met de bestrijding van cybercrime.