CNCERT对监测发现的海量攻击事件进行综合分析，挖掘各类攻击资源在行为、归属等方面的相似性关系，进而将网络攻击事件转换为"攻击团伙"的视角，并对各攻击团伙进行长期跟踪。

近期，CNCERT与天融信公司联合分析挖掘的某个团伙经外部情报比对标定为"8220"挖矿团伙。通过CNCERT的数据发现，该团伙近期在互联网上较为活跃，持续通过Tsunami僵尸网络进行控制感染，且其掌握的挖矿木马也在持续迭代，不断增强其恶意挖矿的适应能力。