Ein eigenes Botnetz kommt nicht in Frage, da man früher oder später eh erwischt wird. Gelder, die von A über B nach C fließen, lassen sich auch verfolgen. Auch der Transfer von Bitcoin lässt sich nachvollziehen.
Da ist der Verkauf an Unternehmen, die mit diesen Exploits handeln (an Kriminelle, Regierungen usw.) wesentlich einfacher und sicherer. Als Entdecker der Lücke ist man aus dem Schneider, da man mit der ganzen Sache nichts mehr zu tun hat und auch keinen weiteren Einfluss darauf hat.
Wie so ein Exploit genutzt wird, hängt ganz vom Nutzen ab. Sicherlich ist es schwieriger einen Entwickler einzuschleusen, der irgendein Drecksspiel über Steam anbietet, als gängige Lücken im OS auszunutzen. Sobald ein Exploit verkauft worden ist, hat das den Verkäufer aber auch nicht mehr zu interessieren wer was wie damit macht...
Da der Personenkreis mit dem Zugriff auf diese Lücke recht klein gewesen ist, hätte man sicherlich auch nicht viel dafür bekommen. Das spielt aber auch keine Rolle. Der Entdecker ist aus dem Schneider und die Community und Valve hätten es wahrscheinlich nie erfahren oder zur gegebenen Zeit.
Valve sollte das Spielchen schon kennen. Unternehmen denen schon einmal Sourcecode entwendet worden ist, sollten eigentlich wissen wie "böse" das Internet ist und wie vorsichtig man sein sollte.