Σε μία από τις τελευταίες εκδόσεις του, το Guildma χρησιμοποίησε ένα νέο τρόπο διανομής των command and control servers, κάνοντας κατάχρηση προφίλ σε YouTube και Facebook. Ωστόσο, οι χειριστές του σταμάτησαν να χρησιμοποιούν το Facebook σχεδόν αμέσως και, τουλάχιστον στην παρούσα φάση, βασίζονται πλήρως στο YouTube.
Το Guildma διαθέτει πολλαπλές λειτουργίες backdoor, όπως να κάνει λήψεις screenshot, να καταγράφει πληκτρολογήσεις, να προσομοιώνει λειτουργίες του ποντικιού και του πληκτρολογίου, να μπλοκάρει συντομεύσεις (όπως απενεργοποίηση του Alt + F4, για να δυσκολεύει την εξαφάνιση των ψεύτικων παράθυρων που μπορεί να εμφανίζει), και/ή να κάνει reboot. Επιπλέον, το Guildma διαθέτει εξαιρετικά αρθρωτή αρχιτεκτονική, αποτελούμενο, σήμερα, από τουλάχιστον 10 modules. Το malware χρησιμοποιεί εργαλεία που υπάρχουν ήδη στο μηχάνημα και επαναχρησιμοποιεί τις δικές του μεθόδους. «Από καιρό σε καιρό προστίθενται νέες τεχνικές, αλλά, ως επί το πλείστον, οι προγραμματιστές φαίνεται απλώς να επαναχρησιμοποιούν τεχνικές από παλαιότερες εκδόσεις», λέει ο Šuman.
Σε μία από τις πρώτες εκδόσεις του Guildma το 2019, είχε προστεθεί η δυνατότητα στόχευσης ιδρυμάτων (κυρίως τράπεζες) και εκτός Βραζιλίας. Παρόλα αυτά, τους τελευταίους 14 μήνες, η ESET δεν έχει εντοπίσει διεθνείς εκστρατείες εκτός της συγκεκριμένης χώρας. Μάλιστα, οι επιτιθέμενοι έφθασαν μέχρι το σημείο του να μπλοκάρουν λήψεις από διευθύνσεις IP εκτός Βραζιλίας.
Οι εκστρατείες του Guildma κλιμακώνονταν αργά μέχρι την τεράστια εκστρατεία τον Αύγουστο του 2019, όταν η ομάδα Ερευνών της ESET κατέγραψε έως και 50.000 δείγματα ανά ημέρα. Αυτή η εκστρατεία συνεχίστηκε για σχεδόν δύο μήνες, φτάνοντας σε περισσότερο από το διπλάσιο του ποσού ανίχνευσης που είχε παρατηρηθεί 10 μήνες πριν.