Sous le coup d'un mandat d'arrêt international, le développeur russe Pyotr Levashov a été arrêté par la police espagnole à Barcelone et placé en détention provisoire à Madrid. Autrement connu en tant que Severa, il est classé par Spamhaus dans le Top 10 des pires spammeurs au monde et serait actif depuis au moins 2004.

En plus de ses activités de spam, Krebs on Security écrit que Severa a organisé diverses opérations consistant à payer des développeurs de virus et spammeurs afin d'installer de faux antivirus. Typiquement, l'émission de fausses alertes de sécurité pour inciter un utilisateur pris pour cible à acheter une licence d'un soi-disant antivirus.

Pyotr Levashov serait le cybercriminel derrière le botnet Waledac puis Kelihos à partir de 2010. Kelihos avait été conçu en reprenant une partie du code de Waledac. Suite à l'annonce de l'arrestation de Pyotr Levashov, le département de la Justice des États-Unis a publié un communiqué à propos d'une opération de démantèlement de Kelihos.

L'annonce d'un tel démantèlement est loin d'être une première pour le botnet Kelihos qui est toujours parvenu à renaître de ses cendres. Il s'agit notamment de bloquer les domaines Internet malveillants associés au botnet afin d'empêcher davantage d'infections. Des serveurs de substitution sont mis en place et reçoivent les demandes d'instructions des ordinateurs infectés qui se destinaient théoriquement au centre de commande et contrôle de Kelihos.

D'après les autorités américaines, le malware Kelihos a ciblé le système d'exploitation Windows. Il a recueilli de informations sur des ordinateurs infectés, comme des identifiants d'utilisateurs, qui ont servi à monter des campagnes de spam illégales avec une promotion sur des forums cybercriminels en ligne.

Avec le botnet Kelihos, il est fait mention " d'énormes volumes de spam ", dont pour divers types de fraudes, ainsi que l'installation d'autres malwares sur les ordinateurs infectés parmi lesquels des ransomwares.