El conjunto de herramientas de FontOnLake incluye tres componentes que consisten en versiones troyanizadas de utilidades legítimas de Linux que se utilizan para cargar rootkits en modo kernel y puertas traseras en modo usuario, todos los cuales se comunican entre sí mediante archivos virtuales. Los propios implantes basados en C++ están diseñados para monitorear sistemas, ejecutar comandos en secreto en las redes y exfiltrar las credenciales de la cuenta.