2019年11月26日，我国网络安全企业腾讯公司发布报告称，名为“KingMiner”的门罗币挖矿木马攻击MSSQL服务器，攻击者采用暴力破解方式入侵具有弱口令漏洞的MSSQL服务器后，首先执行VBS脚本(tl.txt/vk.txt)检测操作系统版本，根据版本下载不同的载荷文件，然后进行提权及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的。提权后下载的tool.exe文件利用Windows权限提升漏洞CVE-2019-0803进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。tool.exe通过命名为WindowsSystemUpdate _WMITimer的计时器每15分钟用两种方法生成URL，然后通过访问生成的URL下载第二阶段的载荷运行。两种方式分别为由IP地址转化为ASCII后拼接生成和由与时间相关的DGA域名拼接生成。vbs脚本tl.txt从服务器上下载经过base64编码的二进制blob文件。木马程序还可以调用微软系统文件credwiz.exed(凭据备份和还原向导)自动加载系统duer.dll文件并调用其导出函数InitGadgets()。除了微软系统文件外，KingMiner在挖矿木马的启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测，利用正常的有数字签名的白文件来调用恶意动态链接库（dll）。