非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门，而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试，后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作：运行一个 Powershell 脚本，从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书，修改系统注册表，通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称，黑客还在域名中包含了他的社会安全号码。