卡巴斯基实验室研究人员6月才 揭露 ，骇客利用SambaCry漏洞开采虚拟货币Monero。研究人员又在7月25日发现，同个骇客这次不攻击Linux OS的装置，反而转攻Windows OS装置来开发新的恶意程式 CowerSnail ，在受感染电脑上建立后门程式，窃取装置资料，包括OS类型、OS名称、装置名称、网路介面资讯、应用二进位介面资讯、内存和处理器资讯。

卡巴斯基研究人员Sergey Yunakovsky指出，CowerSnail是用跨平台应用程式架构Qt来设计，与先前攻击SambaCry漏洞的挖矿软件，都是使用相同开发架构来编写，甚至C&C服务器也用同一台，所以研究人员认定两个恶意程式为相同的作者。

骇客使用Windows的服务控制管理器StartServiceCtrlDispatcher的API作为C&C服务器，并且利用IRC协议来下达指令，如接收受骇电脑的最新装置资讯、执行任何命令、安装CowerSnail和移除CowerSnail等。一般而言，骇客会利用IRC来控制僵尸装置，但鲜少会用在执行后门程式的指令。

研究人员认为，该骇客用Qt编写SambaCry攻击程式，这次仍使用Qt编写CowerSnail，显示该骇客未来想要利用此种方式，继续开发出攻击不同OS平台装置的恶意软件。