疑似來自羅馬尼亞、至少從2020年開始活躍的一個黑客團伙正使用此前從未被記錄的SSH暴力破解器（使用Golang編寫），對使用Linux的設備發起加密劫持活動。在成功入侵之後，就會部署門羅幣（Monero）惡意挖礦軟件。

來自Bitdefender的安全研究人員在上週發布的安全公告中表示，這款稱之為“Diicot brute”的密碼破解工具通過軟件即服務（software-as-a-service）模型進行分發，每個威脅行為者都提供自己獨特的API密鑰以促進入侵。

在遠程攻擊成功之後除了部署惡意程序用於挖礦之外，該團伙還連接了至少2 個DDoS 殭屍網絡，包括一個名為chernobyl 的Demonbot 變體和一個Perl IRC bot，以及XMRig 自2021 年2 月起託管在名為mexalz[.]us 的域上的挖礦負載。

Bitdefender 表示於2021 年5 月開始調查該組織的敵對在線活動，隨後發現了對手的攻擊基礎設施和工具包。該組織還以依靠一袋混淆技巧而聞名，這些技巧使他們能夠躲避安全軟件的審查。為此，Bash 腳本使用shell 腳本編譯器(shc) 進行編譯，並且發現攻擊鏈利用Discord 將信息報告回其控制的渠道，這種技術在惡意行為者中變得越來越普遍用於指揮和控制通信並逃避安全。

研究人員說：“黑客竊取弱SSH 憑據的情況並不少見。安全方面最大的問題之一是默認用戶名和密碼，或者弱憑據黑客可以通過蠻力輕鬆克服。棘手的部分不一定是蠻力強制這些憑據，而是以一種讓攻擊者未被發現的方式進行操作”。