Un bot herder è un hacker che cerca computer vulnerabili e li infetta in modo che possano essere controllati come una botnet. I bot herder possono anche essere bot master, nel qual caso utilizzano i sistemi compromessi per vari tipi di attività informatiche, come condurre attacchi DDOS (Distributed Denial of Service), eseguire frodi sui clic o schemi di frodi pubblicitarie o propagare malware. In altri casi, il bot herder potrebbe fornire l'hacking come servizio e affittare l'accesso ai sistemi compromessi a terzi.
I bot herder utilizzano software specializzato che analizza gli intervalli di rete per i sistemi con vulnerabilità che consentono loro di ottenere il controllo delle macchine. Generalmente usano pseudonimi per rimanere anonimi. Per nascondere i loro indirizzi IP e le posizioni fisiche, i bot herder utilizzano spesso server proxy e account di shell. I bot master possono utilizzare programmi di comando e controllo, canali di chat relay su Internet o persino feed di Twitter per inviare comandi ai bot.
L'attività principale di un bot herder è infettare nuovi computer con malware. Poiché i sistemi infetti vengono costantemente rilevati, l'eventuale rilevamento è integrato nel modello di business. Il successo è determinato dall'infezione di nuovi computer all'incirca alla stessa velocità con cui vengono rilevate infezioni esistenti, quindi c'è sempre una nuova scorta.