美国司法部（DOJ）当时时间12月13日公开的法庭文件显示，三名黑客承认创建Mirai恶意软件，并利用Mirai僵尸网络对多个目标发起DDoS攻击。

三人分工明确创建Mirai

三名黑客分别为：帕拉斯-杰哈、约西亚-怀特和道尔顿-诺曼。

认罪协议（Plea Agreement）显示，怀特创建了Mirai Telnet扫描器；杰哈创建了Mirai僵尸网络的核心基础设施，并开发了这款恶意软件的远程控制功能；诺曼开发了新漏洞利用。

美国当局表示，针对运行Linux操作系统的设备，三名黑客协作创建了Mirai恶意软件，Mirai使用Telnet扫描器识别在线暴露的设备，并结合漏洞利用和默认凭证感染不安全的设备，不断添加到僵尸网络中。

牵头调查的美国联邦调查局（FBI）表示，Mirai僵尸网络由30万多台设备组成，其中大多为数字录像机（DVR）、监控摄像头和路由器。

Mirai于2016年8月开始行动，当月便被安全研究人员发现。

利用Mirai僵尸网络，这三人在黑客论坛上宣传Mirai僵尸网络，提供DDoS租用服务。杰哈似乎还使用Mirai僵尸网络企图勒索托管公司。

这种租用服务模式增加了早期确定Mirai DDoS攻击归因的难度，尤其针对信息安全记者布莱恩-克雷布斯、法国托管提供商OVH、托管DNS提供商Dyn发起的DDoS攻击。

三人利用原Mirai僵尸网络发起攻击，Mirai一时名声大噪。针对OVH的DDoS攻击的流量峰值高达1.1 Tbps，针对Dyn的DDoS攻击使约26%的互联网站点陷入瘫痪，Mirai因此“成名”

此后，杰哈使用网名Anna-senpai进行操作，将Mirai的源代码公开到网上，其它恶意软件开发人员因此创建了大量克隆变种，例如Satori，这是目前最新的Mirai变种，12月5日已经激活超过28万个不同的IP。杰哈大概希望通过无数新的克隆变种将Mirai的踪迹隐藏起来。目前Mirai僵尸网络仍在继续壮大，扫描活动已扩展至南美和北非国家，包括哥伦比亚、厄瓜多尔、巴拿马、埃及和突尼斯。

法庭文件指出，这三人利用Mirai僵尸网络进行广告点击欺诈，为运营商创造非法利益，部分利益最终流入杰哈、怀特和诺曼的腰包。杰哈在调查中承认，曾于2014年11月~2016年9月对其母校罗格斯大学（Rutgers University）发起多起DDoS攻击。