Necro đã có những thay đổi đáng kể so với thời điểm được phát hiện vào đầu năm 2021. Các chuyên gia nhận thấy sự thay đổi từ cách giao tiếp lệnh kiểm soát tới việc bổ sung cách khai thác lỗ hổng mới để nâng cao khả năng lây lan. Đáng chú ý nhất là khả năng khai thác các lỗ hổng trong VMWare vSphere, SCO OpenServer, Vesta Control Panel và giao thức SMB.

Năm 2015, một chiến dịch mã độc mang tên FreakOut đã khai thác các lỗ hổng trong các thiết bị lưu trữ mạng nhắm vào các máy tính chạy hệ điều hành Linux, biến các thiết bị này thành botnet để phát động tấn cống từ chối dịch vụ (DDoS) vào đào tiền ảo Monero. Necro vào thời điểm đó được xem là một phần của chiến dịch khi nhắm vào cả hệ điều hành Linux và Windows.

Ngoài khả năng phát động tấn công DDoS và truy cập từ xa để tải và khởi chạy thêm các Payload, Necro còn được thiết kế để tránh bị phát hiện trên hệ thống bằng cách cài đặt rootkit. Ngoài ra, mã độc này cũng phát tán các mã độc hại để truy xuất và thực thi các bộ đào tiền ảo trên JavaScript từ một máy chủ từ xa, với các tệp HTML và PHP trên các hệ thống bị lây nhiễm.

Trong khi các phiên bản trước, Necro khai thác các lỗ hổng trong Liferay Portal, Laminas Project và TerraMaster, thì ở phiên bản mới được quan sát gần nhất vào ngày 11 và 18/05, thì mục tiêu là Vesta Control Panel, ZeroShell 3.9.0, SCO OpenServer 5.0.7 và lỗ hổng thực thi mã từ xa ảnh hưởng tới VMWare vCenter  định danh CVE-2021-21972 đã được công ty này cập nhật bản vá vào tháng 2/2021.

Bên cạnh đó, phiên bản Necro được phát hành vào ngày 18/5 bao gồm các hoạt động khai thác lỗ hổng EternalBlue (CVE-2017-0144) và EternalRomance (CVE-2017-0145). Cả hai lỗ hổng này đều dẫn đến thực thi mã từ xa trong giao thức SMB của Windows. Điều này cho thấy tin tặc đang chủ động phát triển cách thức lây lan mới lợi dụng các lỗ hổng đã được công khai. Người dùng cần thường xuyên áp dụng các bản cập nhật bảo mật mới nhất cho tất cả các ứng dụng, không chỉ riêng hệ điều hành.