2017 decemberben és 2018 januárban én is többször írtam a Triton/TriSIS (később Hatman) néven elhíresült malware-ről, ami egy Szaúd-arábiai olajipari vállalat safety (SIS) rendszere elleni támadáshoz használt kártékony kód. A héten a FireEye kutatói (ők adták a malware-nek a Triton nevet) újabb információkat hoztak nyilvánosságra, amelyek szerint a Triton/TriSIS malware mögött álló támadók (akikről a Dragos Xenotime név alatt már számos jellemző eszközt és technikát publikált) egy újabb kritikus infrastruktúra elleni támadásnál használták fel a Szaúd-Arábiában már látott malware-t.

A FireEye elemzése szerint a támadók a széles körben használt eszközök (pl. Mimikatz) mellett számos egyedi, saját fejlesztésű eszközt is használnak a támadások végrehajtása során, ezek funkcionalitásban nem nagyon különböznek a már ismert, hasonló eszközöktől, de az egyedi fejlesztés lehetővé teszi, hogy nagyobb eséllyel kerüljék el a kártékony kódok észlelését a hagyományos, mintaillesztéssel dolgozó biztonsági rendszerek esetén.

A támadók tevékenységét elemző kutatók úgy vélik, hogy a Triton/TriSIS mögött álló csoport 2014 óta lehet aktív, de a módszereik és eszközeik miatt képesek volt sokáig elkerülni, hogy felfedezzék a tevékenységüket, egészen addig, amíg Szaúd-Arábiában egy hiba következtében le nem állították az olajipari létesítmény egyes folyamatait.