Есть основания полагать, что атака SysJoker совершена продвинутым субъектом угроз:
Тот факт, что код был написан с нуля и не встречался ранее в других атаках. Кроме того, редко встречаются ранее невиданные вредоносные программы для Linux в реальных атаках.
Злоумышленник зарегистрировал как минимум 4 разных домена и написал с нуля вредоносное ПО для трех разных операционных систем.
Во время нашего анализа мы не наблюдали второй стадии или команды, отправленной злоумышленником. Это говорит о том, что атака является специфической, что обычно подходит для продвинутого агента.
Исходя из возможностей вредоносной программы, мы предполагаем, что целью атаки является шпионаж и латеральное перемещение, что также может привести к атаке с целью выкупа в качестве одного из следующих этапов.
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
