360 Netlab describe a Orchard como una evolución interesante dentro del ecosistema de botnets: en lugar de depender únicamente de algoritmos predecibles basados en tiempo para generar dominios DGA, introduce un elemento externo y dinámico —las transacciones de Bitcoin— como fuente de entropía.
Este enfoque complica significativamente la defensa. Mientras los DGA tradicionales permiten a los analistas anticipar patrones y bloquear dominios antes de que sean utilizados, el uso de datos de blockchain introduce una capa de imprevisibilidad que reduce la eficacia de técnicas clásicas de detección.
El modelo híbrido de Orchard, que combina dominios hardcodeados con generación dinámica, refuerza su resiliencia frente a interrupciones. Aunque sus capacidades funcionales —recolección de información, ejecución de comandos y descarga de payloads— no son nuevas, la forma en que protege su infraestructura C2 sí lo es.
En conjunto, el caso muestra cómo los atacantes están explorando fuentes de datos abiertas y descentralizadas para mejorar la evasión, elevando el nivel de complejidad para los equipos de defensa.