گونه جدیدی از بدافزار ارزکاو XMRig، سیستم‌های اینتل لینوکسی را هدف قرار می‌دهد که پورت SSH آنها باز است و از گذرواژه پیش‌فرض استفاده می‌کنند. قبلا گونه دیگری از این بدافزار مشاهده شده بود که تجهیزات IoT را هدف می‌گرفت.

لری کشدالر (Larry Cashdollar) محقق امنیتی شرکت Akamai می‌گوید با استفاده از هانی‌پات، بدافزاری را کشف کرده است که ماشین‌های اینتل با سیستم‌عامل لینوکس را هدف قرار می‌دهد. «به گمانم احتمال دارد این گونه‌ای از بات‌نت‌های ارزکاو اینترنت اشیاء باشد. به نظر می‌رسد این بدافزار سیستم‌های تجاری را هدف قرار می‌دهد».

این ارزکاو که برای پردازنده‌های x86 و 686 بهینه‌سازی شده است، از طریق پورت 22، اتصال SSH برقرار می‌کند و خود را در قالب فایل gzip انتقال می‌دهد. سپس، بررسی می‌کند که آیا بدافزار قبلا روی ماشین نصب شده بوده است یا خیر. در این صورت وجود بدافزار، نصب متوقف می‌شود. اما در صورتی که نسخه نصب شده قدیمی‌تر باشد، اجرای نسخه قدیمی متوقف شده و نسخه جدید نصب می‌شود. در ادامه سه دایرکتوری با نسخه‌های مختلف از یک فایل ساخته می‌شوند.

به گفته کشدالر «هر کدام از دایرکتوری‌ها حاوی نسخه‌ای از ارزکاو XMrig v2.14.1 در نسخه 32 بیتی x86 یا 64 بیتی است. برخی از این باینری‌ها مانند ابزارهای رایج یونیکس مثل ps نامگذاری می‌شوند، تا در لیست پراسس‌های عادی گم شوند». در مرحله بعد، بدافزار، خود برنامه ارزکاو را نصب می‌کند و فایل crontab را دستکاری می‌کند تا پس از هر ریبوت مجددا اجرا شود. به علاوه یک اسکریپت shell نیز نصب می‌شود تا با سرور کنترل و فرمان ارتباط برقرار کند.

قبلا بدافزاری رایج شده بود که تجهیزات مبتنی بر ARM و MIPS را از طریق پورت telnet آلوده می‌کرد. به نظر می‌رسد عاملان آن بدافزار، منبع بکر دیگری برای درآمدزایی پیدا کرده‌اند. «مجرمان به کسب درآمد از منابع امن‌سازی نشده، به هر شکل که بتوانند، ادامه می‌دهند. مدیران سیستم باید بهترین اقدامات امنیتی را برای سیستم‌های تحت مدیریت خود به کار گیرند. سرویس‌های امن‌سازی نشده با آسیب‌پذیری‌های وصله نشده یا پسوردهای ضعیف، اهداف اصلی سوء استفاده هستند».