SysJoker è stato originariamente scritto in C++, ma l'ultima versione utilizza il linguaggio di programmazione Rust ed è stata utilizzata da gruppi di hacker legati ad Hamas per prendere di mira Israele.
La società di sicurezza Check Point Research ha recentemente scoperto una nuova versione del programma trojan multipiattaforma SysJoker. Originariamente era scritto in C++, ma l'ultima versione utilizza il linguaggio di programmazione Rust ed è stata utilizzata da gruppi di hacker legati a Hamas .
SysJoker è apparso per la prima volta nel 2021. All'epoca era un programma trojan multipiattaforma che poteva essere utilizzato per attaccare le piattaforme Windows, Linux e macOS. Si maschera da file di aggiornamento del sistema e poi decodifica i file archiviati in Google Drive per generare C&C. Secondo l'analisi di Intezer, la società di sicurezza che lo ha rivelato all'epoca, SysJoker cambierà costantemente il suo server C&C, il che significa che gli hacker. sono molto attivi e monitorano gli attacchi del dispositivo pericoloso, credendo che stia cercando un obiettivo specifico.
SysJoker si comporta in modo simile su diverse piattaforme. Intezer ritiene che lo scopo del suo attacco sia lo spionaggio, ma ha le caratteristiche del movimento laterale e può portare anche ad attacchi ransomware.
Il SysJoker scoperto da Check Point Research è stato scritto in Rust, il che significa che gli hacker hanno riscritto completamente SysJoker ma hanno mantenuto funzioni simili. Inoltre, gli hacker sono passati a utilizzare OneDrive invece di Google Drive per memorizzare URL C&C dinamici.
D'altra parte, la versione C++ di SysJoker non solo può scaricare ed eseguire programmi remoti da file archiviati, ma anche eseguire comandi impartiti dagli hacker. Tuttavia, dopo che la versione Rust avrà ricevuto ed eseguito il file scaricato, ciò dipenderà dal successo o fallimento dell'operazione, quindi contattare il server C&C e non è possibile eseguire direttamente il comando.
L'ultima ricerca collega la versione Rust di SysJoker alla missione di hacking Operation Electric Powder, che è stato un attacco alla Israel Electric Company nel 2016/2017. Entrambi hanno utilizzato URL a tema API ed eseguito script in un ordine simile.
