Linux/Remaiten usiłuje nawiązać połączenia z losowymi adresami IP, a jeśli połączenie się powiedzie, będzie starał się odgadnąć dane logowania do urządzenia (usługa Telnet). Po zalogowaniu na router, zagrożenie pobiera szkodliwy program, który przyłącza urządzenie do powstałego botnetu. Sieć zainfekowanych komputerów może teraz wykonywać polecenia cyberprzestępców. Najczęściej polegają one na floodingu (wysyłaniu ogromnej ilości pakietów w bardzo krótkich odstępach czasu), pobieraniu i uruchamianiu plików czy skanowaniu sieci w poszukiwaniu kolejnych urządzeń, aby móc się do nich zalogować, a następnie zainfekować. Zasadniczą funkcjonalnością powstałego botnetu jest jednak przeprowadzanie ataków DDoS na serwery w sieci.
Linux/Remaiten łączy w sobie możliwości wcześniejszych trojanów: Tsunami (znanego także jako Kaiten) i Gafgyt. Dodano jednak do niego kilka udoskonaleń, m.in. funkcjonalność rozpoznawania architektury sprzętowej urządzenia (ARM, MIPS).
Do tej pory analitycy zagrożeń z firmy Eset zidentyfikowali trzy nowe wersje tego zagrożenia.
