Frühe IoT-Botnets der ersten Generation verfolgen Ansätze die erstaunlich trivial, aber dennoch erfolgreich sind. Meist breitet sich das Botnet aus, indem von den bereits infizierten Geräten zufällige weitere IP-Adressen gescannt werden. Sofern eine Antwort erfolgt, wird mit Hilfe eines Wörterbuches bekannter Benutzername-Passwort-Kombinationen der Login auf verschiedenen Diensten des angegriffenen Gerätes versucht. Es zeigte sich, dass bereits kleine Wörterbücher mit 20 bis 80 verschiedenen Einträgen enorm erfolgreich sein können. Dies ist möglich, da die Angriffe meist auf einige wenige, spezielle Gerätetypen abzielen, die in großer Anzahl ähnlich konfiguriert eingesetzt werden. Um den Angriff erfolgreich zu Ende zu führen, besitzen die Botnets der ersten Generation Listen von Befehlen für den Angriff, die sie sukzessive ausführen, bis das Gerät das gewünschte Verhalten zeigt. Stellenweise werden zusätzlich zu den Versuchen mit Wörterbuch-Passwörtern auch öffentlich bekannte CVE-Schwachstellen (Common Vulnerabilities and Exposures) [2] genutzt. Um die Aktionen des Botnets zu koordinieren, kommen gewöhnlich zentralisierte Command-and-Control Server (CnC-Server) zum Einsatz. Diese Geräte organisieren das Netzwerk und leiten Befehle an die Bots weiter. Beispiele von Botnets der ersten Generation sind Mirai, Nyadrop und Bashlite.
Verbesserte IoT-Botnets der zweiten Generation weisen im Gegensatz zu den doch recht einfachen Mechanismen der vorherigen Generation einige Optimierungen auf. So reagieren die Botnets beispielsweise auf Scanning-Versuche anderer Botnets und nutzen diese Information, um bekannte Lücken auszuschöpfen und das Gerät ihrerseits anzugreifen. Sobald der Angriff erfolgreich war betreiben die verbesserten Botnets häufig opportunes Patchen: Die vorhandenen Schwachstellen werden geschlossen, um eine erneute Übernahme durch ein feindliches Botnet zu verhindern. Um eine Detektion der Infektion durch den Geräte-Nutzer zu verhindern setzen sie Mechanismen ein, um aktive Prozesse zu verbergen. Neben der umfangreichen Nutzung bekannter CVE-Schwachstellen werden vereinzelt auch Zero-Day Exploits ausgenutzt – Schwachstellen, die bis dato noch nicht öffentlich bekannt waren. Beispiele von Botnets der zweiten Generation sind IoTroop / Reaper und Hakai.