MoonBounce apunta al flash SPI, un almacenamiento no volátil externo al disco duro
Un implante de firmware previamente no documentado implementado para mantener la persistencia sigilosa como parte de una campaña de espionaje dirigida se ha vinculado al grupo de amenazas persistentes avanzadas Winnti de habla china (APT41).
Kaspersky, que nombró en código al rootkit MoonBounce, caracterizó el malware como el "implante de firmware UEFI más avanzado descubierto hasta la fecha", agregando que "el propósito del implante es facilitar la implementación de malware en modo de usuario que organiza la ejecución de más cargas útiles descargadas de Internet".