騰訊御見威脅情報中心近期檢測到廣東、重慶多家三甲醫院服務器被黑客入侵，攻擊者暴力破解醫院服務器的遠程登錄服務，VPS，之后利用有道筆記的分享文件功能下載多種挖礦木馬。

攻擊者將挖礦木馬偽裝成遠程協助工具Teamviewer運行，攻擊者的挖礦木馬會檢測多達50個常用挖礦程序的進程，將這些程序結束進程后獨占服務器資源挖礦。該挖礦木馬還會通過修改注冊表，破壞操作系統安全功能：禁用UAC（用戶帳戶控制）、禁用Windows Defender，關閉運行危險程序時的打開警告等等。

已知樣本分析發現，攻擊者使用的挖礦木馬擁有多個礦池，開挖的山寨加密幣包括：門羅幣（XMR）、以太坊（ETH）、零幣（ZEC）等等，從礦池信息看，目前攻擊者已累積獲利達40余萬元人民幣。

騰訊御見威脅情報中心已發現有關病毒作者的線索，云主機租用，這位挖礦木馬的控制者使用同一個ID在各類黑客論壇、開發者論壇活躍時間長達十年以上。

據騰訊御見威脅情報中心統計分析，我國醫療機構開放遠程登錄服務（端口號：22）的比例高達50%，這意味著有一半的服務器可能遭遇相同的攻擊。