Una vez instalado, el malware verifica que el equipo afectado realmente pertenezca al objetivo al que se quiere atacar e instala una puerta trasera SSH de manera que el atacante pueda tomar control efectivo del equipo afectado.
El comportamiento de BlackEnergy en un ataque particular se configura mediante un archivo XML incluido dentro del ejecutable del software.
Este apagón es el primero en el mundo que ha sido documentado como producido con el uso de un malware.
[4] Desde 2014, se ha detectado el uso del componente KillDisk para destrucción de archivos cambiando su contenido por datos aleatorios e intentando dejar el equipo en un estado en el que no pueda reiniciarse.
Una de las extensiones de BlackEnergy usadas en el ataque a las empresas del sector eléctrico fue un servidor SSH, preparado para autentificar usuarios y claves específicas predefinidas, y configurado para atender conexiones en un puerto inusual, el cual permite a los atacantes conectarse libremente al equipo afectado.