Retadup est un maliciel (malware) qui infecte principalement des ordinateurs Windows en Amérique latine et y installe dans la plupart des cas un programme de 'mining' qui extrait des crypto-monnaies en exploitant la puissance de calcul et l'énergie des machines de ses victimes. Les monnaies extraites sont alors transférées vers les propriétaires du botnet. De plus, Retadup peut aussi installer des espionnciels (spyware) ou des rançongiciels (ransomware). Le malware se présente sous la forme d'un ver et est capable de se propager d'un ordinateur à l'autre, selon l'entreprise de sécurité Avast dans un communiqué relatif à l'opération policière sur un blog.

La firme de sécurité y explique s'être tourné vers la cyber-police française, lorsqu'elle découvrit une faille dans le serveur 'command & contrôl' (c&c) du malware. En exploitant cette brèche, il était possible d'envoyer du code vers les ordinateurs contaminés, afin de neutraliser le maliciel. Or l'entreprise ne disposait pas des moyens légaux pour le faire elle-même, mais comme l'infrastructure du botnet se trouvait en France, la police française, elle, pouvait intervenir. Avec l'accord d'un juge, la cyber-police française, plus précisément le Centre de lutte contre les criminalités numériques ou C3N, entama la création d'une réplique du serveur c&c, mais cette fois dans le but de désinfecter les ordinateurs contaminés. Le C3N remplaça ensuite le serveur c&c original par sa propre version. Selon le rapport établi, la police française est ainsi parvenue à désinfecter 850.000 ordinateurs.

Ce type de vaste botnet de crypto-extracteurs représentait non seulement une importante source de revenus pour ses opérateurs, mais il avait aussi le potentiel pour lancer de dangereuses attaques à grande échelle, selon Jean-Dominique Nollet, le directeur du C3N, qui s'exprime dans le journal français Le Figaro.