SysJoker awalnya ditulis dalam C++, namun versi terbarunya menggunakan bahasa pemrograman Rust dan telah digunakan oleh kelompok hacker yang terkait dengan Hamas untuk menargetkan Israel.
Perusahaan keamanan Check Point Research baru-baru ini menemukan versi baru dari program Trojan lintas platform SysJoker. Awalnya ditulis dalam C++, tetapi versi terbaru menggunakan bahasa pemrograman Rust dan telah digunakan oleh kelompok peretas yang terkait dengan Hamas .
SysJoker pertama kali muncul pada tahun 2021. Saat itu merupakan program Trojan lintas platform yang dapat digunakan untuk menyerang platform Windows, Linux, dan macOS. Itu menyamar sebagai file pembaruan sistem, dan kemudian menerjemahkan file yang disimpan di Google Drive untuk menghasilkan C&C, menurut analisis Intezer, perusahaan keamanan yang mengungkapkannya pada saat itu, SysJoker akan terus-menerus mengubah server C&C-nya, yang berarti peretas. sangat aktif dan memantau serangan. Perangkat berbahaya, percaya bahwa ia sedang mencari target tertentu.
SysJoker berperilaku serupa pada platform yang berbeda. Intezer percaya bahwa tujuan serangannya adalah spionase, namun memiliki karakteristik pergerakan lateral dan juga dapat menyebabkan serangan ransomware.
SysJoker yang ditemukan oleh Check Point Research ditulis dalam Rust, yang berarti bahwa peretas sepenuhnya menulis ulang SysJoker tetapi mempertahankan fungsi serupa. Selain itu, peretas beralih menggunakan OneDrive alih-alih Google Drive untuk menyimpan URL C&C dinamis.
Di sisi lain, SysJoker versi C++ tidak hanya dapat mengunduh dan menjalankan program jarak jauh dari file yang diarsipkan, tetapi juga menjalankan perintah yang diinstruksikan oleh peretas, namun, setelah versi Rust menerima dan menjalankan file yang diunduh, keberhasilan atau keberhasilannya akan tergantung kegagalan operasi. Kemudian hubungi server C&C dan tidak ada kemampuan untuk langsung menjalankan perintah.
Penelitian terbaru menghubungkan SysJoker versi Rust dengan misi peretasan Operation Electric Powder, yang merupakan serangan terhadap Israel Electric Company pada tahun 2016/2017. Keduanya menggunakan URL bertema API dan mengeksekusi skrip dengan cara yang serupa.
