Apodado KmsdBot por el Equipo de respuesta de inteligencia de seguridad de Akamai (SIRT), el malware basado en Golang se encontro dirigido a una variedad de empresas que van desde juegos hasta marcas de automóviles de lujo y empresas de seguridad.
El malware recibe su nombre de un ejecutable llamado "kmsd.exe" que se descarga de un servidor remoto luego de un compromiso exitoso. También está diseñado para admitir varias arquitecturas, como Winx86, Arm64, mips64 y x86_64.
KmsdBot viene con capacidades para realizar operaciones de escaneo y propagarse descargando una lista de combinaciones de nombre de usuario y contraseña. También está equipado para controlar el proceso de minería y actualizar el malware.
El KmsdBot infecta nuevos sistemas a través de conexiones SSH que usan credenciales de inicio de sesión débiles o predeterminadas. Se dirige a dispositivos Windows y Linux con una amplia gama de arquitecturas. La botnet, según los investigadores, infecta los sistemas a través de una conexión SSH que utiliza credenciales de inicio de sesión débiles. Para evitar la detección, el malware no permanece persistente en el sistema infectado.
Gracias a los investigadores de Akamai, estos lograron encontrar un error de sintaxis provocó que el bot dejara de enviar comandos, lo que eliminó efectivamente la red de bots, lo que resultó en el final de la red de bots de criptominería que también se usaba para ataques distribuidos de denegación de servicio (DDoS).