بدافزاری که پیش از این در حمله به شرکتهای بخش انرژی بهکار رفته بود سازمانهایی را که برنامههای کاربردی صنعتی و ماشین آلات را استفاده میکنند و یا توسعه میدهند هدف قرار داد.
بررسیها نشان میدهد که در طی ماههای پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex، از طریق هک سایتهای تولیدکنندگان سیستمهای کنترل صنعتی (ICS) و نیز آلوده کردن افزارهای قانونی قابل دانلود در سایتها، کردند.
همچنین طی تحقیقات، سه سایت فروشنده این نرمافزارها که به این طریق آلوده شدهاند، کشف شده است. نصب کنندههای نرمافزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شدهاند. به نظر میرسد، احتمالا موارد مشابه دیگری نیز موجود باشد که تاکنون کشف نشده است.F-Secure نام این فروشندههای آلوده شده را بیان نکرد اما گفت: دو شرکت توسعه دهنده نرمافزار مدیریت از راه دور ICS بودند و سومی تهیه کننده دوربینهای صنعتی با دقت بالا و نرم افزارهای مرتبط با آن است.
بر این اساس مهاجمان، برنامههای installer قانونی را برای اضافه و اجرا کردن فایلهای اضافی در کامپیوتر تغییر میدهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex است.این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیلهای اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفتهاند و نشان میدهد کسانی که در پشت این عملیات هستند به طور خاص علاقهمند به هدف قرار دادن سازمانهایی که از برنامههای کاربردی ICS و SCADA استفاده میکنند، شدهاند.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمعآوری اطلاعات در مورد دستگاههای کنترل صنعتی نفوذ میکند. بدافزار Havex نیز اطلاعات جمعآوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال میکند. در نتیجه به نظر میرسد که بدافزار Havex به عنوان یک ابزار برای جمع آوری اطلاعات استفاده میشود. تاکنون نیز هیچ گونه payload که سعی در کنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است. محققان F-Secure اعلام کردند: اکثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یک شرکت در کالیفرنیا مشاهده شده که اطلاعات به سرورهای C&C ارسال کرده است. از سازمانهای اروپایی نیز دو نهاد آموزشی بزرگ در زمینه پژوهشهای مربوط به فناوری در فرانسه، دو تولیدکننده برنامههای کاربردی یا دستگاههای صنعتی در آلمان، یک تولیدکننده ماشینآلات صنعتی فرانسوی و یک شرکت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شدهاند.در گزارشی که دی ماه 92 منتشر شده بود، شرکت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT که حملههای هدفمند بر علیه سازمانهای بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر کرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست