По словам независимого исследователя под псевдонимом MalwareMustDie!, проводившего анализ вредоноса, Mirai является наследником другого DDoS-трояна, известного как Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus. По данным компании Level 3, за последние несколько месяцев Gafgyt инфицировал более 1 млн web-камер, причем в один из ботнетов входит порядка 120 тыс. устройств.
Целевыми для Mirai являются IoT-девайсы, работающие на базе Busybox – упрощенного набора инструментов GNU и библиотек для встраиваемых устройств. Троян атакует только определенные платформы, в частности ARM, ARM7, MIPS, PPC, SH4, SPARC и x86.
Инфицирование целевого устройства осуществляется посредством брутфорс-атаки на порт Telnet с использованием списка дефолтных учетных данных администратора. Оказавшись на системе, вредонос связывается с C&C-сервером злоумышленников и ожидает команды. Mirai может осуществлять DDoS-атаки и использует брутфорс для распространения на другие устройства.