Вероятно, хакерская группировка расположена в Румынии. Активна с 2020 года. Считается, что она ответственна за криптоджекинг-кампанию. Она атакует устройства на Linux с помощью брутфорса SSH.
Инструмент для взлома паролей назвали Diicot brute. Цель кампании – распространять малварь для майнинга криптовалюты Monero путем компрометации устройств с помощью брутфорса.
Исследователи также связали группировку с двумя ботнетами – вариант Demonbot, названный chernobyl, и Perl.
Румынская компания по кибербезопасности сообщила, что начала расследование в мае 2021 года и обнаружила инфраструктуру злоумышленников.