ผู้เชี่ยวชาญจาก SANS Technology Institute และ Morphus Labs ชี้ว่ากลุ่มแฮ็กเกอร์ได้ทำรายได้กว่า 2 แสนเหรียญ USD จากการติดตั้ง Cryptocurrency Miner สกุล Monero บนเซิร์ฟเวอร์ Oracle WebLogic ที่ไม่ได้แพตซ์ช่องโหว่ โดยคาดว่าปฏิบัติการดังกล่าวเริ่มตั้งแต่เดือนธันวาคมปี 2017
แฮ็กเกอร์ได้เลือกใช้โค้ด POC ของช่องโหว่หมายเลข CVE-2017-10271 บน WebLogic ที่ Oracle ได้ออกเป็นแพตซ์ไปแล้วเมื่อเดือนตุลาคมปี 2017 ซึ่งแฮ็กเกอร์เห็นแล้วว่ามันเป็นช่องโหว่ที่ถูกจัดอยู่ในระดับความเสี่ยงร้ายแรงโดยมีคะแนนถึง 9.8 จากเต็ม 10 ซึ่งหมายความว่ามันสามารถนำไปใช้งานได้ง่ายเพื่อควบคุมเซิร์ฟเวอร์ที่ไม่ได้ทำการแพตซ์
อย่างไรก็ตามพบว่าเหยื่อส่วนใหญ่เป็นองค์กรที่ใช้งาน WebLogic ที่ใช้งานอินเทอร์เน็ตภายนอกและอินทราเน็ตไม่มากนัก นักวิจัยพบว่าการใช้ช่องโหว่ดังกล่าวทำให้แฮ็กเกอร์ได้รับสิทธิ์เข้าถึงเครือข่ายอย่างครบครัน แต่แฮ็กเกอร์เลือกเพียงติดตั้ง Cryptocurrency Miner อย่างเดียวโดยที่ไม่ได้ขโมยข้อมูลที่มีค่าออกไป หรือเรียกค่าไถ่ด้วย Ransomware หรือติดตั้ง Backdoor Trojan เลย
จากการวิเคราะห์เพิ่มเติมของนักวิจัยสามารถระบุผู้โจมตีได้เป็น 2 กลุ่ม คือ กลุ่มที่ประสงค์ในเงินสกุล AEON ซึ่งสร้างรายได้ไปประมาณ 6,000 เหรียญ USD และอีกกลุุ่มขุดเหรียญ Monero ได้ถึง 611 เหรียญหรือประมาณ 226,000 เหรียญ USD นอกจากนี้เมื่อติดตามเพิ่มเติมพบว่าแฮ็กเกอร์ยังได้สนใจ WebLogic ที่ตั้งอยู่บน Cloud อย่าง AWS, Digital Ocean, Google, Microsoft, Oracle หรือ OVH เป็นพิเศษอีกด้วย