Sebuah modus operandi baru yang digunakan oleh sekelompok penjahat dunia maya Indonesia bernama GUI-vil t memanfaatkan kemampuan Amazon Web Services (AWS) Elastic Compute Cloud (EC2) untuk penambangan mata uang kripto yang ilegal. Seperti yang kita kita ketahui bahwa AWS EC2 adalah layanan web yang menghadirkan daya komputasi yang bisa diatur skalanya di lingkungan cloud AWS. Ini memungkinkan menjalankan banyak server virtual, memberikan fleksibilitas untuk menyesuaikan sumber daya komputasi berdasarkan kebutuhan yang diperlukan.

Grup GUI-vil menggunakan interface GUI pada browser S3 9.5.5.  untuk melakukan penyusupan, selanjutnya mereka masuk ke target mereka menggunakan kunci AWS yang ditemukan di repositori di GitHub atau dengan memindai instans GitLab yang rentan yang mampu mengeksekusi kode jarak jauh (remote akses)  seperti CVE-2021-22205.

Setelah penyusupan berhasil, hacker meningkatkan hak istimewa mereka dan melakukan pengintaian internal untuk mengidentifikasi layanan yang dapat diakses oleh mereka melalui konsol web AWS.  GUI-vil juga melakukan teknik berbaur dan mempertahankan kehadiran di lingkungan target  dengan membuat account baru yang cocok dengan skema penamaan yang ada, sehingga tidak menimbulkan kecurigaan selama pemeriksaan sepintas.

Penjahat dunia maya membuat kunci akses bagi pengguna baru ini  sehingga dapat terus menggunakan Browser S3. Koneksi mereka ke Indonesia disimpulkan dari alamat IP dan AS Number  yang terkait dengan aktivitas mereka.

Kesimpulannya group ini didorong oleh motivasi finansial, grup ini bertujuan untuk membuat instans EC2 untuk memfasilitasi penambangan mata uang kripto meskipuh hasilnya tidak seberapa dari yang didapatkan lewat penambangan  ini jika dibandingkan dengan pengeluaran korban untuk meluncurkan instans EC2.