El malware utiliza routers comprometidos para infectar smartphones y tablets Android, redirigir dispositivos iOS a un sitio phishing y ejecutar el script minero CoinHive en ordenadores de sobremesa y portátiles. Esto lo consigue mediante el secuestro del DNS, lo que dificulta que los usuarios detecten que algo va mal. Al principio, Roaming Mantis mostraba mensajes en 4 idiomas: inglés, coreano, chino y japonés. Pero en algún momento sus creadores decidieron expandirse e implementar otras dos docenas de idiomas nuevos en su malware