资安业者Sysdig发现罗马尼亚骇客组织Rubycarp的攻击行动，这些骇客运用已公开漏洞及暴力破解等方式，架设僵尸网路，借此进行挖矿、DDoS、网路钓鱼等攻击，主要目的是获得经济利益。研究人员推测，对方的活动至少进行了10年，但直到最近才被公开。

研究人员看到对方不断探测蜜罐陷阱（Honeypot）环境，过程中利用网页应用程式框架Laravel已知漏洞CVE-2021-3129（CVSS风险评分9.8），进而存取目标企业组织的内部网路环境，也出现暴力破解伺服器的SSH帐密，以及借由WordPress网站截取帐密的情况。

一旦对方得逞，就有可能在被入侵的伺服器上，部署以Perl语言写成的Shellbot后门程式，将受害主机纳入僵尸网路。研究人员总共找到39个后门程式，但恶意程式分析网站VirusTotal仅侦测到其中8个，研究人员表示，这代表大部分的后门程式之前都未被发现。

值得留意的是，这些骇客不光经营上述僵尸网路，也开发与销售相关的作案工具。研究人员指出，这样的情况并不常见。