Según las muestras del malware, el atacante habría obtenido acceso a través de unas credenciales SSH robadas a miembros de universidades de Canadá, China y Polonia. Hay evidencias también de que los ataques habrían sido perpetrados por los mismos usuarios, ya que había similitudes entre los nombres de archivos e indicadores de red de que se trataba del mismo atacante.
Una vez tenían acceso, los atacantes usaban un exploit para la vulnerabilidad CVE-2019-15666 para obtener permisos de root y lanzar una aplicación que minaba Monero, que es la mejor criptomoneda para minar aprovechando la potencia de una CPU. De momento no ha trascendido cuánto dinero habrían minado aprovechando la enorme potencia de estos ordenadores.
Muchas de las organizaciones que han tenido que apagar sus ordenadores esta semana habían anunciado que estaban volcando sus esfuerzo en investigación relacionada con el COVID-19, por lo que esto seguramente ha generado algún que otro retraso.