يُزعم أن ما يصل إلى ٥٠٠٠٠ خادم في جميع أنحاء العالم قد تأثرت ببرنامج ضار متقدم للتعدين الخفي يقوم بتعدين العملة مفتوحة المصدر التي تركز على الخصوصية "ترتلكوين" (TRTL). وقد تم الكشف عن الأخبار في تحليل أجرته مجموعة غارديكور لابز الدولية المتخصصة في مكافحة عمليات الاختراق والأمن السيبراني يوم ٢٩ مايو.

وكما هو مذكور، فإن التعدين الخفي هو مصطلح صناعي لهجمات التعدين الخفي للعملات المشفرة والذي يعمل عن طريق تثبيت برامج ضارة تستخدم طاقة معالجة الكمبيوتر لتعدين العملات المشفرة دون موافقة المالك أو معرفته.

وبعد اكتشاف الحملة لأول مرة في أبريل وتتبع أصولها وتقدمها، تعتقد غارديكور لابز أن البرامج الضارة أصابت ما يصل إلى ٥٠٠٠٠ خادم MS-SQL وPHPMyAdmin خلال الأشهر الأربعة الماضية في جميع أنحاء العالم. وقد عمد المحللون إلى تأجيل الهجمات إلى أواخر فبراير، وأشاروا إلى التوسع المتسارع للحملة بمعدل يزيد على "سبعمئة ضحية جديدة يوميًا".

ففي الفترة بين ١٣ أبريل و١٣ مايو، تضاعف عدد الخوادم المصابة ليصل إلى ٤٧٩٨٥ جهازًا.

وتشير غارديكور لابز إلى أن حملة البرمجيات الخبيثة ليست هجومًا عاديًا من أحد القائمين بتعدين العملات المشفرة، لأنها تعتمد على التقنيات الشائعة في مجموعات التهديد المستمر المتقدمة، بما في ذلك الشهادات المزيفة واستغلال تصعيد الامتيازات.

وقد أطلق الباحثون على هذه الحملة اسم "Nansh0u"، على اسم سلسلة ملفات نصية تُستخدم ظاهريًا في خوادم المهاجمين. ويُعتقد أنه تم ابتكارها من قِبل الجهات الفاعلة في تهديدات السينوفون، حيث قيل إن الأدوات الموجودة في البرامج الضارة كانت مكتوبة بلغة البرمجة EPL الصينية. علاوة على ذلك، ذُكر أن عددًا من ملفات السجل والثنائيات الموجودة على الخوادم تتضمن سلاسل صينية. وحسبما يوضح التحليل:

تشمل الآلات التي تم اختراقها أكثر من ٥٠٠٠٠ خادم ينتمي إلى شركات في قطاعات الرعاية الصحية والاتصالات والإعلام وتكنولوجيا المعلومات. وبمجرد اختراقها، أصيبت الخوادم المستهدفة بحمولات ضارة. وأدى ذلك بدوره إلى إسقاط عامل نعين عملات مشفرة وتثبيت غلاف متطور في وضع الخمول لمنع إنهاء البرامج الضارة."

ومن حيث الانتشار الجغرافي، ذُكر أن غالبية الضحايا المستهدفين كانوا في الصين والولايات المتحدة والهند - على الرغم من أنه يعتقد أن الحملة انتشرت فيما يصل إلى ٩٠ دولة. كما يشير التقرير إلى أن الربحية الدقيقة للتعدين الخفي يصعب التأكد منها، حيث إن الأموال التي يتم تعدينها هي من عملة ترتلكوين التي تركز على الخصوصية.

وفي تحذير للمؤسسات، أكد الباحثون أن "هذه الحملة تُظهر مرة أخرى أن كلمات المرور الشائعة لا تزال تشكل الحلقة الأضعف في تدفقات هجوم اليوم".