Armen der Commando Cat-Kampagne richten sich gegen öffentlich zugängliche Docker-API-Endpunkte und führen zu einem bösartigen Kryptojacking. Die Kampagne nutzt Docker als Zugangspunkt, um von einem servergesteuerten Server aus Container mit schädlichen Befehlen auf dem Docker-Host auszuführen. Die Angreifer greifen anfällige Docker-Instanzen an, um Container mit Hilfe von Commando zu erstellen und auszuführen. Commando Cat verwendet den chroot-Befehl, um den Containern zu entkommen. Zunächst findet eine Überprüfung statt, ob bestimmte Dienste auf dem kompromittierten System aktiv sind. Danach werden weitere schädliche Payloads, einschließlich Backdoors und anderer Skripte, vom Command-and-Control-Server geladen. Die Genauigkeit der Herkunft der Akteure hinter der Commando Cat-Kampagne ist bisher unklar. Die Kampagne wurde mit Cryptojacking-Gruppen wie TeamTNT in Verbindung gebracht. Das Hauptziel der Kampagne ist es, so viele wertvolle Informationen wie möglich aus infizierten Maschinen zu extrahieren.