تمت كتابة SysJoker في الأصل بلغة C++، لكن الإصدار الأخير يستخدم لغة البرمجة Rust وقد تم استخدامه من قبل مجموعات القراصنة المرتبطة بحماس لاستهداف إسرائيل.
اكتشفت شركة Check Point Research الأمنية مؤخرًا إصدارًا جديدًا من برنامج طروادة SysJoker متعدد المنصات، وقد تمت كتابته في الأصل بلغة C++، لكن الإصدار الأخير يستخدم لغة برمجة Rust وقد استخدمته مجموعات القراصنة المرتبطة بحماس للتعامل مع إسرائيل .
ظهر SysJoker لأول مرة في عام 2021. وفي ذلك الوقت، كان عبارة عن برنامج حصان طروادة متعدد المنصات يمكن استخدامه لمهاجمة أنظمة التشغيل Windows وLinux وmacOS. فهو يتنكر في هيئة ملف تحديث للنظام، ثم يقوم بفك تشفير الملفات المخزنة في Google Drive لإنشاء القيادة والسيطرة. ووفقًا لتحليل Intezer، شركة الأمان التي كشفت عنه في ذلك الوقت، ستقوم SysJoker بتغيير خادم القيادة والسيطرة الخاص بها باستمرار، مما يعني أن المتسللين سيتمكنون من ذلك. نشطة للغاية وتراقب الهجمات معتقدة أنها تبحث عن هدف محدد.
يتصرف SysJoker بشكل مشابه على منصات مختلفة، ويعتقد Intezer أن الغرض من هجومه هو التجسس، ولكنه يتميز بخصائص الحركة الجانبية وقد يؤدي أيضًا إلى هجمات برامج الفدية.
تم كتابة SysJoker الذي اكتشفه Check Point Research بلغة Rust، مما يعني أن المتسللين أعادوا كتابة SysJoker بالكامل لكنهم احتفظوا بوظائف مماثلة، بالإضافة إلى ذلك، تحول المتسللون إلى استخدام OneDrive بدلاً من Google Drive لتخزين عناوين URL الديناميكية للتحكم والسيطرة.
من ناحية أخرى، لا يمكن لإصدار C++ من SysJoker تنزيل البرامج عن بعد وتنفيذها من الملفات المؤرشفة فحسب، بل يمكنه أيضًا تنفيذ الأوامر التي يوجهها المتسللون. ومع ذلك، بعد استلام الملف الذي تم تنزيله وتنفيذه، سيحدد إصدار Rust ما إذا كانت العملية ناجحة أم لا، ثم اتصل بخادم C&C ولا توجد إمكانية لتنفيذ الأمر مباشرة.
يربط أحدث الأبحاث إصدار Rust من SysJoker بمهمة القرصنة Operation Electric Powder، والتي كانت عبارة عن هجوم على شركة الكهرباء الإسرائيلية في 2016/2017، واستخدم كلاهما عناوين URL ذات طابع API ونفذا نصوصًا برمجية بطريقة مماثلة.
