Примечательной особенностью Shifu является то, что его авторы явно черпали вдохновение из знаменитого произведения о докторе Франкенштейне и его чудовище: троян скроен из фрагментов кода других известных «зловредов», таких как Shiz, Gozi, Zeus и Dridex. Это позволило ему унаследовать их отличительные особенности: так, обфускация и защита от исследования досталась от ZeuS, а стелс-технология была позаимствована у Gozi.
Исследовательская группа IBM X-Force во главе со старшим специалистом по информационной безопасности Этаем Маором (Etay Maor), которая ведет расследование по делу Shifu, выдвинула предположение, что заражение трояном происходит в ходе спланированной спам-кампании. После проникновения в банковскую систему «вор» начинает собирать пароли, данные клиентских счетов, а также внешние токены для аутентификации в некоторых банковских приложениях.
Любопытно, что Shifu устанавливается с особой системой защиты, препятствующей проникновению в систему других вредоносных ПО, — таким способом троян ограждает себя от «конкурентов», что позволяет ему сохранять полный контроль над зараженной средой. Анализ кода Shifu, проведенный специалистами X-Force, выявил наличие комментариев на русском языке, что может свидетельствовать о том, что программа была написана на территории постсоветского пространства.