其他討論包括：Reddit、Stack Overflow（西班牙語）、forobeta（西班牙語）、brainycp（俄語）、natnetwork（印尼語）、Proxmox（德語）、Camel2243（中文）、svrforum（韓語）、exabytes、virtualmin、serverfault等。

在利用漏洞或錯誤配置後，利用程式碼會從伺服器下載主要有效負載，在大多數情況下，該伺服器已被攻擊者駭客攻擊並轉換為匿名分發惡意軟體的通道。針對研究人員蜜罐的攻擊名為 httpd。執行後，該檔案會將自身從記憶體複製到 /temp 目錄中的新位置，運行它，然後終止原始進程並刪除下載的二進位。

一旦移動到 /tmp 目錄，該檔案就會以不同的名稱執行，該名稱模仿已知 Linux 進程的名稱。蜜罐上託管的檔案名稱為 sh。從那裡，該檔案建立一個本地命令和控制進程，並嘗試透過利用CVE-2021-4043 來獲取根系統權限，CVE-2021-4043 是一個特權升級漏洞，已於2021 年在廣泛使用的開源多媒體框架Gpac 中修補。

該惡意軟體繼續將自身從記憶體複製到少數其他磁碟位置，再次使用顯示為常規系統檔案的名稱。然後，該惡意軟體會釋放一個 Rootkit（一系列已修改為 Rootkit 的熱門 Linux 實用程式）和挖礦程式。在某些情況下，惡意軟體還會安裝用於「代理劫持」的軟體，該術語是指透過受感染的電腦秘密路由流量，因此資料的真實來源不會被洩露。

研究人員繼續說：

作為其命令和控制操作的一部分，惡意軟體會開啟一個 Unix 套接字，在 /tmp 目錄下建立兩個目錄，並在那裡儲存影響其操作的資料。這些資料包括主機事件、自身副本的位置、進程名稱、通訊日誌、令牌和其他日誌資訊。此外，惡意軟體使用環境變數來儲存進一步影響其執行和行為的資料。

所有二進位檔案都經過打包、剝離和加密，表明為繞過防禦機制並阻礙逆向工程嘗試付出了巨大努力。該惡意軟體還使用先進的規避技術，例如在 btmp 或 utmp 檔案中偵測到新用戶時暫停其活動，並終止任何競爭惡意軟體以維持對受感染系統的控制。

透過推斷由 Shodan 和 Censys 等服務追蹤的跨各種服務和應用程式連接到互聯網的 Linux 伺服器數量等數據，研究人員估計被 Perfctl 感染的機器數量為數千台。他們表示，存在漏洞的機器（即尚未安裝 CVE-2023-33426 修補程式或包含易受攻擊的錯誤配置的機器）有數百萬台。研究人員尚未測量惡意礦工產生的加密貨幣數量。

想要確定自己的設備是否已成為 Perfctl 的目標或感染的人應該尋找周四帖子中包含的妥協指標。他們也應該留意 CPU 使用率的異常峰值或系統突然減速，尤其是在空閒時間發生的情況。週四的報告也首先提供了預防感染的步驟。

這個故事最初出現在 技術藝術節。