นักวิจัยจาก Cado Security ได้เปิดเผยถึงการค้นพบที่เกี่ยวกับกลุ่มอาชญากรรมทางไซเบอร์ที่กำลังใช้ Crypto-Mining Worm ชนิดใหม่ที่เรียกว่า TeamTNT ใช้ทำการขโมย Credential และค่าคอนฟิกของ AWS ที่เก็บอยู่ในรูปแบบ Plaintext จาก Docker และ Kubernetes ที่ถูกบุกรุก

TeamTNT นั้นเป็นบอตเน็ตชนิด Cryptocurrency Mining ถูกค้นพบครั้งเเรกโดย MalwareHunterTeam และถูกวิเคราะห์เพิ่มเติมโดยทีมนักวิจัยจาก Trend Micro จากการวิเคราะห์เมื่อเซิร์ฟเวอร์ติดเชื้อ ตัวบอตเน็ตจะเรียกใช้ Masscan IP เพื่อทำการสแกนเนอร์พอร์ตหา Docker APIs และ Kubernetes ที่ทำการตั้งค่าคอนฟิกผิดพลาดและสามารถเข้าถึงได้เพื่อทำการติดตั้งตัวเองในคอนเทนเนอร์บนเซิร์ฟเวอร์ที่พบ จากนั้น TeamTNT จะสแกนระบบเพื่อหาไฟล์ที่ไม่ได้เข้ารหัสโดย AWS CLI เพื่อทำการขโมย Credentials และค่าคอนฟิกของ AWS ที่ถูกเก็บอยู่ในรูปแบบ Plaintext จากพาทที่เก็บข้อมูลคือ ~/.aws/credentials และ ~/.aws/config.