По мнению экспертов Fidelis Cybersecurity, стоящая за Dyre киберпреступная группировка или отдельные ее члены возобновили свою деятельность, используя те же методы и схожее вредоносное ПО. Прежде всего исследователи обратили внимание на то, что модуль TrickLoader, загружающий троян на систему жертвы, очень похож на загрузчик Dyre.
Правда, между двумя троянами есть и различия. TrickBot является, скорее, не клоном, а обновленной версией Dyre. Большая часть оригинального трояна написана на языке C, тогда как TrickBot – на C++, из чего можно предположить, что программы созданы разными разработчиками. С целью добиться персистентности на зараженном устройстве TrickBot использует TaskScheduler и COM, а Dyre запускает команды непосредственно на системе. Для криптографических операций новый вредонос использует Microsoft Crypto API, тогда как старый применяет алгоритмы SHA-256 и AES.