腾讯安全御见威胁情报中心监测发现，“Agwl”团伙增加了对Linux系统的攻击，入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务，并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。“Agwl”团伙继续植入Linux平台的DDoS病毒lst（有国外研究者命名为“Mayday”）以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段，扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击，爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金，而是直接将数据库文件删除后骗取酬金，企业一旦中招将会蒙受严重损失。