早在2018年，安全研究人員就已經發現了後被命名為Purple Fox的Rootkit惡意軟件，起初攻擊者主要利用網絡釣魚電子郵件和漏洞利用工具包進行傳播。然而Guardicore安全研究人員Amit Serper和Ophir harpaz在一篇博客文章中指出：在利用了一種全新的感染技術之後，該惡意軟件已能夠在Windows設備間更迅速地傳播，且殭屍網絡的規模也在不斷增長。

（來自：Guardicore）

研究人員指出，該惡意軟件正在對使用弱密碼和麵向互聯網的Windows計算機發起新一輪攻擊。此外通過利用新的感染技術，其傳播速度也得到了極大的增強。

具體說來是，該惡意軟件通過針對服務器信息塊（簡稱SMB）來猜測Windows 用戶帳戶的弱密碼，進而使Windows 與其它設備（例如打印機和文件服務器）進行通信和達成傳播感染的目的。

一旦獲得了易受攻擊的計算機的訪問權，Purple Fox 就會從將近2000 台較舊且受感染的Windows Web 服務器網絡中，提取惡意負載並悄悄安裝Rootkit、讓惡意軟件持久錨定在計算機上，同時更加難以被發現、檢測和刪除。

研究人員指出，一旦被感染，該惡意軟件就會關閉最初用於感染計算機的防火牆端口，這或許可阻止重複感染、或避免被其它攻擊者入侵並劫持受害者的​​計算機。

之後，該惡意軟件會生成一份Internet 地址列表，掃描網絡上具有弱密碼的易受攻擊的設備，以進一步感染和創建一個不斷擴大的殭屍網絡。

通常情況下，黑客會利用殭屍網絡來發起DDoS 攻擊，但也可以用於散播惡意軟件和垃圾郵件、或在受感染的計算機上部署加密劫持用戶文件的勒索軟件。

Guardicore 北美安全研究副總裁Amit Serper 表示，由於自身傳播的能力較強，蠕蟲殭屍網絡對受害者造成的風險也更大。相較於此前的網絡釣魚和漏洞利用工具包，蠕蟲感染技術的“運營成本”也更低。

作為一種“機會主義”的攻擊形式，它會不斷掃描互聯網並尋找更易受攻擊的機器，意味著攻擊者可以一勞永逸。

根據Guardicore 的互聯網傳感器監測數據，自2020 年5 月以來，Purple Fox 的感染率已飆升600%，且實際數量可能會更高（過去一年總計超狗90000 感染）。