Dans un effort pour mieux contrôler les infrastructures vulnérables basées sur le cloud, deux groupes de piratage à l'origine de campagnes de cryptographie à grande échelle ont commencé à cibler leurs cryptomères respectifs. Le groupe Pacha, détecté pour la première fois en septembre 2018, est un groupe de menaces d'origine chinoise décrit par Intezer Labs alors qu'il tentait de propager son malware d'extraction de crypto-monnaie. Linux.GreedyAntd. Les chercheurs de la société ont découvert que le malware du groupe était conçu pour rechercher d'autres malwares crypto-malveillants présents sur les systèmes qu'il infecte, bien que cette technique ait déjà été utilisée par les souches. Programmes malveillants similaires. Le programme Linux.GreedyAnd Modular Malware a utilisé Systemd pour gagner en persistance et le rendre plus difficile à détecter et à supprimer. Le logiciel malveillant est également utilisé pour cibler et supprimer la cryptographie d'autres groupes de cybercriminels, mais le groupe Rocke est la cible principale. Ignacio Sanmillan d'Intezer Labs a expliqué dans un article de blog comment Linux.GreedyAndt diffère des logiciels malveillants précédents publiés par le groupe Pacha dans les termes suivants : "La principale infrastructure anti-malware semble être identique aux campagnes Pacha précédentes, bien que des efforts considérables puissent être faits pour détecter et limiter les implants Rocke."