2019年11月26日，美国ESET网络安全公司发布报告称僵尸网络Stantinko新增加密货币挖矿模块。Stantinko从2012年活跃至今，主要针对的是俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦等国家的用户，至少感染了500000台设备。 近日，研究人员发现了Stantinko新增了一个加密货币挖矿模块，从而可以在控制的计算机中获利。该模块是名为“xmr -stak”开源门罗币挖矿程序的修改版本，通过挖取门罗币来消耗受感染机器的大部分资源。它删除了所有不必要的字符串甚至整个功能，其余的字符串和函数被严重混淆，以逃避检测。该模块不会直接与其采矿池进行通信，而是通过从YouTube视频的描述文本中获取的代理服务器的IP地址进行通信。 该挖矿模块从逻辑上分为四个功能模块：挖矿程序（主模块）、排他模块（暂停其它挖矿程序）、逃避安全监测模块（检测安全软件）、逃避性能监测模块（当计算机处于电池供电状态或检测到任务管理器时暂停挖矿）。挖矿程序使用TCP协议与代理服务器进行加密通讯，最核心的哈希值挖矿算法是从代理服务器下载，并直接在内存中运行，可以躲避安全软件的监测功能。不在程序中写入哈希值挖矿算法，取而代之的是从代理服务器进行下载，这样可以提高挖矿的灵活性——可随时更换算法以便获取当前价值更高的加密货币。