最近几年专门利用Linux服务器从事挖矿攻击的事故陆续传出，其中一个专门从事这类攻击行动的罗马尼亚骇客Diicot（或称Mexals），有研究人员揭露最新一波的攻击行动。

资安业者Wiz指出，这些骇客通常会利用自我散布工具、自製的UPX打包工具，透过网路扫描寻找下手目标，并植入挖矿软件，但在他们最新一波的攻击行动里，骇客运用损坏的检查码（checksum）窜改UPX文件标头，以防正常的解包工具能够进行拆解，而且，这次骇客使用了进阶的恶意酬载与行为来从事相关攻击。

研究人员举出其中一种手法为例，骇客会根据Linux作业系统的版本，来侦测恶意软件是在云端或是内部网路环境执行，一旦发现是云端环境，则恶意软件就会进行自我散布，直到是内部网路环境的Linux主机，才会执行部署挖矿软件有效酬载的工作。骇客这么做的目的，很有可能就是根据威胁情资曝露的蹤迹进行调整，以免相关攻击行动曝光。

根据相关调查结果，这波攻击行动与过往有许多不同之处，首先，骇客改以Go语言打造相关工具，并透过名为Update的有效酬载做为核心元件，而能在受害主机持续运作，并进行自我散播。

而对于基础设施架构的部分，也出现不少变化，骇客不光使用新的服务器、网域名称、加密货币钱包，并开始採用名为Zephyr Protocol的去中心化金融（DeFi）稳定币通讯协定进行挖矿。附带一提的是，这些骇客开始弃用以即时通讯软件Discord为基础的C2架构，但原因为何研究人员并未进一步说明。

根据骇客使用的加密货币钱包进行追蹤，不法所得超过1.6万美元，但由于这些骇客已逐步转向使用Zephyr Protocol，相关金流将变得更加难以追蹤，因此研究人员认为，这些骇客实际挖得的加密货币价值，应远高于此。