Um ator de ameaça com motivação financeira de origem indonésia foi observado aproveitando as instâncias da Amazon Web Services Elastic Compute Cloud (EC2) para realizar operações ilícitas de mineração de criptografia.

O grupo mostra uma preferência por ferramentas de interface gráfica do usuário (GUI), especificamente o navegador S3 (versão 9.5.5) para suas operações iniciais.

As cadeias de ataque montadas pelo GUI-vil envolvem a obtenção de acesso inicial armando as chaves da AWS em repositórios de código-fonte expostos publicamente no GitHub ou verificando instâncias do GitLab que são vulneráveis a falhas de execução remota de código.

Uma entrada bem-sucedida é seguida pela escalação de privilégios e um reconhecimento interno para revisar todos os buckets S3 disponíveis e determinar os serviços acessíveis por meio do console da Web da AWS.

A principal missão do grupo, orientada financeiramente, é criar instâncias EC2 para facilitar suas atividades de mineração de criptomoedas.