Vladimir il funzionamento viene descritto così:
A Turkish-based entity known as Nitrokod is alleged to actively participate in a crypto mining campaign that imitates computer software for Google Translate, which has affected over 111,000 victims in around 11 countries globally since 2019.
In pratica, attraverso canali di hosting/diffusione software (anche Softpedia, Uptodown) sono stati caricati dei malware. La cosa interessante è che questi malware erano strutturati in modo tale da restare in standby per settimane, prima di entrare all'attivo, quindi evitando anche i controlli antivirus. Poi a distanza di tempo accadeva questo:
Upon execution of the malware, a connection to a remote command-and-control (C2) server is established to retrieve a configuration file to initiate the coin mining activity.
L'obiettivo è il crypto mining (es. mining Bitcoin e analoghi), che di per sé consuma molta energia elettrica. In questo modo si prendono delle vittime (inconsapevoli, tramite es. software fake, phishing ecc) e le si sfrutta per eseguire degli algoritmi, in pratica utilizzare la loro potenza computazionale e le loro spese enrgetiche. Tante vittime e un uso non troppo intenso per ognuno (altrimenti uno nota il rallentamento evidente), comportaper chi attacca un bel po' di risorse a titolo gratuito.
Anche altri malware di tipo crypto miner funzionano su meccanismi simili a questo.