Эксперты американской компании Unveillance, специализирующейся в области защиты от утечек данных, с тревогой констатируют наблюдающийся стремительный рост одного из ботнетов, сформированных на основе Palevo. По оценке аналитиков, его размеры уже побили рекорд печально известного ботнета Mariposa. Как оказалось, география Metulji  охватывает 172 страны мира, включая США, Россию, Бразилию, Китай, Великобританию, Индию и Иран. В число жертв Metulji входит как бизнес-сектор, так и индивидуальные пользователи. Ботнет нацелен на кражу финансовой информации и других персональных данных. Он был создан с помощью того же комплекта инструментов, который использовали операторы Mariposa, арестованные в прошлом году в Испании. В настоящее время специалисты Unveillance, среди которых много тех, кто участвовал в разоблачении испанской «бабочки», вместе с экспертами Panda Security занимаются подсчетом резидентных ботов Metulji и изучением обновленного кода Palevo. Как удалось установить специалистам, новая версия червя-полиморфика присутствует в Сети как минимум с 2007 года. Он стал более могучим и научился лучше скрываться от обнаружения. На настоящий момент исследователи обнаружили несколько тысяч уникальных вариантов Palevo, ассоциированных с новым ботнетом.

По счастью, обновленный тулкит для построения ботнета работает по той же модели учета лицензионных копий, которая в свое время помогла выявить операторов Mariposa и арестовать его авторов. Сработала она и на этот раз. В начале июня в сербской Боснии были задержаны некие Алёша Боркович (Aljoša Borković) и Дарко Малинич (Darko Malinić). Их арест был осуществлен в рамках международного расследования, которое под кодовым наименованием «Operation Hive» (операция «Пчелиный рой») проводят ФБР, Интерпол, министерство внутренних дел Сербии и полиция Словении. Молодые люди попали под подозрение как создатели и операторы Metulji, тем более что Боркович использовал свое настоящее имя и личный email при регистрации доменов, задействованных в управлении ботнетом. Несмотря на то, что его выдающиеся «успехи» в программировании известны даже ФБР и юнца уже арестовывали за киберпрегрешения, он легкомысленно сорил деньгами, украденными с помощью Palevo, обзавелся шикарным жильем и приобрел два дорогих авто. При обыске у братьев-славян изъяли компьютерное оборудование и незарегистрированное оружие. Несколько доменов, связанных с командной инфраструктурой Metulji, удалось заблокировать, но другие пока активны и продолжают участвовать в сборе пользовательской информации. По словам экспертов, их нейтрализация ― тяжкий труд, так как все они зарегистрированы в Китае и России, а эти страны обычно глухи к запросам зарубежных коллег в аналогичных ситуациях. По данным Palevo Tracker, в настоящее время в интернете числится больше сотни активных C&C серверов, управляющих этим червем. В Рунете они сосредоточены в сетях «Вилайн Телеком» (AS39150), ОАО Вебальта (AS41947) и YabaMedia (AS49097).