Initialement repéré en 2002 sous le nom de Linux/Tsunami ou Troj/Kaiten sur les distributions GNU/Linux, le malware en question a été ré-écrit afin de s'installer sur les machines d'Apple. Cette variante, rebaptisée OSX/Tsunami.A est directement contrôlée par IRC depuis un serveur distant. Selon les spécialistes d'Eset, chaque ordinateur infecté devient alors une machine zombie formant un botnet et lançant, à l'insu de la victime, des attaques de type DDoS contre certains sites Internet.
En plus d'opérer des attaques organisées, le hacker serait également en mesure de télécharger un fichier sur la machine de la victime et de mettre à jour le malware. Esset et Sophos annoncent avoir mis à jour leur antivirus respectifs face à cette nouvelle menace.