攻擊流程完全透過自動化進行

而對於整個攻擊行動的流程，研究人員指出都是透過自動化執行，一旦攻擊者從GitHub儲存庫發現金鑰，就會開始一系列的攻擊流程。對方會先進行一系列的AWS帳號偵察，完成後就會建立安全群組，找尋所有能夠存取的EC2執行個體，過程中駭客的攻擊流程，都是透過VPN於背景進行。

為了提高挖礦的獲利，攻擊者會在這些EC2執行個體採用大型雲端虛擬機器，通常是擁有192個虛擬處理器、192 GB記憶體的虛擬機器c5a.24xlarge，以便在相同時間裡挖取更多加密貨幣。

駭客在啟動這些EC2執行個體的過程中，呼叫了名為RunInstance的API，用來執行Cloud-Init指令碼，從而在這些執行個體進行參數配置，並執行後續的攻擊行動。值得留意的是，對方的相關操作並未在CloudTrail留下事件記錄。

對此，研究人員對EC2執行個體進一步採證，發現駭客從Google Drive下載挖礦軟體的檔案，然後在儲存到執行個體後再行解密、執行。此外，對方所使用的AMI映像檔為私有檔案，並未在AWS Marketplace市集上架，其中部分映像檔是採用Ubuntu 18為基礎開發。研究人員根據找到的入侵指標（IoC），他們推測，攻擊行動很有可能從2020年開始。

特別的是，這些駭客也將他們用過的帳密資料加入黑名單。研究人員推測，這麼做的目的，很有可能是防止遭到進一步分析。