主要有3組人馬利用這項漏洞，其中一組特別引起他們的注意，因為駭客們使用Shell指令碼進行SSH連線，而能在受害伺服器的環境挖礦。

攻擊者下載Shell檔案，並從記憶體內透過bash開啟。研究人員對這個指令碼進行分析，指出一旦啟動，此指令碼會先清除已知的挖礦軟體處理程式，以及從特定資料夾執行的處理程式。

接著，指令碼將刪除所有cron工作排程，並新增C2連線的工作排程，每5分鐘檢查一次。此外，該指令碼還會移除阿里雲的資安防護機制Alibaba Cloud Shield、騰訊雲的映像檔案。

然後，攻擊者進一步收集所需的系統資訊，並透過SSH連線從事挖礦行為，這些駭客也透過SSH進行橫向移動，利用其他伺服器擴大挖礦的規模。最終攻擊者清除系統及bash的事件記錄檔案，抹去作案痕跡。