Ha jól értem az egész történetben mindössze annyi az "újdonság", hogy egy mindig létező (/dev/random) eszközre illeszkedő udev rule-ra van bekötve a malware indítása. Nem systemd service, nem sysv init script, nem cronjob, vagy crontab entry, nem at job, nem user shell profile-ja, nem kernel modul, hanem ezúttal az udev ami elindítja a malware process-t. És ezekszerint a standard malware scannelő toolok ide eddig nem néztek be.