主要有3组人马利用这项漏洞，其中一组特别引起他们的注意，因为黑客们使用Shell脚本进行SSH连接，而能在受害服务器的环境挖矿。

攻击者下载Shell文件，并从内存内通过bash打开。研究人员对这个脚本进行分析，指出一旦启动，此脚本会先清除已知的挖矿软件处理进程，以及从特定文件夹运行的处理进程。

接着，脚本将删除所有cron工作调度，并添加C2连接的工作调度，每5分钟检查一次。此外，该脚本还会移除阿里云的资安防护机制Alibaba Cloud Shield、腾讯云的映像文件。

然后，攻击者进一步收集所需的系统信息，并通过SSH连接从事挖矿行为，这些黑客也通过SSH进行横向移动，利用其他服务器扩大挖矿的规模。最终攻击者清除系统及bash的事件记录文件，抹去作案痕迹。