Az „ATTor”-nak elnevezett platform két fontos tulajdonsággal rendelkezik: az egyik modulja AT protokollt használ a csatlakoztatott GSM eszközök feltérképezéséhez (fingerprinting), illetve a Tort használja a hálózati kommunikációhoz. „Az ATTort használó támadók leginkább diplomáciai képviseletekre és kormányzati intézményekre összpontosítanak. Ezek a célzott támadások, amelyek feltételezhetően 2013. óta zajlanak, jobbára orosz szolgáltatások felhasználóit célozzák meg, különösen azokat, akik magánéletük miatt kiemelten aggódnak” – mondta Zuzana Hromcová, az ESET kártevőelemzője. Az Attor moduláris felépítésű: egy központi vezérlő egységből (dispatcher) és betölthető modulokból (pluginok) áll. A kémprogram előre meghatározott folyamatokat céloz, például az olyan orosz közösségi hálózatokkal (Webmoney, Agentkontakte, Multifon, Rambler, Qui, Infium és egyéb orosz közösségi média és üzenetküldő oldalak) és néhány titkosítási/digitális aláírási segédprogrammal kapcsolatos folyamatokat, mint a HMA VPN szolgáltatás, a végpontok közötti titkosítási e-mailszolgáltatások (Hushmail és The Bat!), valamint a TrueCrypt lemeztitkosító segédprogram.
Az ATTor moduljai által telepített képességek közül kettő igazán egyedi a ritka jellemzőik miatt: ez pedig a hálózati kommunikáció és a GSM-eszközök feltérképezése. Az anonimitás megőrzése és lenyomozhatóság megelőzése érdekében a platform a Tor protokollt használja a távoli vezérlő szerver (C&C, command-and-control) eléréséhez. Az ATTor arzenáljának legkülönlegesebb modulja információkat gyűjt mind a csatlakoztatott modem- és telefoneszközökről, mind pedig a csatlakoztatott meghajtókról és az ezeken található fájlokról. Az ESET kutatói szerint ennek elsődleges célja a soros porton keresztül a számítógéphez csatlakoztatott GSM eszközök feltérképezése. Az Attor úgynevezett „AT parancsokat” használ az eszközzel való kommunikációhoz és az azonosító kódok lekérésére (IMSI, IMEI, MSISDN és az eszközön futó szoftver verziója).