Распространение вредоносного кода осуществляется через взломанные сайты, с которых скачивается shell-скрипт. Он, в свою очередь, загружает майнер с пяти разных ресурсов. Использование проверенных SSL-сертификатов на этих хостах усложняет его обнаружение, а распределённая структура доставки маскирует источник угрозы. Для автозапуска используется дополнительный скрипт «cron.sh», активирующий майнер после перезагрузки системы. Были также обнаружены Windows-исполняемые файлы, указывающие на возможную атаку на ОС от Microsoft, пишет Securitylab.
Ранее этот майнер распространялся через уязвимость CVE-2024-36401 в GeoTools от OSGeo GeoServer. Тогда вредоносный код также распространялся через похожие ресурсы, а в его коде нашли комментарии на суданском языке. Аналогичные скрипты были замечены в сети ещё в декабре 2021 года.
Кроме того, установлены и другие эксплуатируемые уязвимости:
Характерными признаками кампании являются упор на давно известные уязвимости, избегание ловушек низкой вовлечённости и активное использование взломанных площадок для скрытного распространения вредоносного кода.