קבוצת פושעי סייבר לא מוכרת נקשרה למתקפת סייבר על חברת ייצור חשמל בדרום אפריקה באמצעות גרסה חדשה של נוזקת SystemBC הנקראת DroxiDat. מתקפת הסייבר נחשדת כהקדמה למתקפת כופרה. קורט באומגרטנר – חוקר אבטחה ראשי בצוות המחקר והניתוח העולמי של קספרסקי טוען כי הנוזקה כוללת דלת אחורית בעלת יכולת proxy אשר נפרסה לצד Cobalt Strike Beacons בתשתית חברת החשמל. בקספרסקי טוענים כי מתקפת הסייבר שהתרחשה בסוף מרץ השנה הייתה בשלביה המוקדמים וכללה שימוש ב- DroxiDat כדי ליצור פרופיל של תעבורת מערכת ורשת ה- proxy באמצעות פרוטוקול SOCKS5 אל תשתית פיקוד ושליטה (C2) וממנה.
SystemBC הינה נוזקה מבוססת C/C++ וכלי ניהול מרחוק שנראה לראשונה בשנת 2019. התכונה העיקרית שלה היא להגדיר פרוקסי SOCKS5 במחשבי הקורבן, שיוכלו לשמש לאחר מכן את פושעי הסייבר כדי להחדיר נוזקות אחרות. השימוש ב- SystemBC כצינור למתקפות כופרה כבר תועד בעבר: בדצמבר 2020 חשפה Sophos את הסתמכותם של מפעילי כופרות על SystemBC RAT כדלת אחורית של Tor עבור זיהומים של Ryuk ו- Egregor: "נוזקת "SystemBC הינה כלי אטרקטיבי בסוגי פעולות אלו מכיוון שהיא מאפשרת לעבוד על מספר מטרות בו זמנית באמצעות משימות אוטומטיות, מה שמאפשר פריסה ידנית של כופרות באמצעות הכלים המובנים של Windows, אם משיגים פושעי הסייבר את האישורים המתאימים", אמרה החברה אז.
זהותם של פושעי הסייבר העומדים מאחרי מתקפת הסייבר הנוכחית אינה ידועה בשלב זה, אם כי עדויות מצביעות על מעורבות סבירה של קבוצות כופרה רוסיות, במיוחד FIN12 (המכונה Pistachio Tempest), אשר ידוע כי היא פורסת SystemBC לצד Cobalt Strike Beacons כדי להפעיל כופרות.
יש לציין כי מספר מתקפות הכופרה המכוונות לארגונים ותשתיות תעשייתיים הוכפל מאז הרבעון השני של 2022 וקפץ מ- 125 ברבעון השני של 2022 ל- 253 ברבעון השני של 2023, לפי חברת Dragos. הנתון מהווה גם עלייה של 18% מהרבעון הקודם, אז זוהו 214 אירועים: "כופרה תמשיך לשבש את הפעילות התעשייתית, בין אם באמצעות שילוב של זני כופרות, רשתות מחשוב המאפשרות התפשטות של כופרות לתוך סביבות OT, או השבתות ייצור יזומות של קורבנות מתקפות הכופרה כדי למנוע התפשטות הכופרה למערכות תעשייתיות נוספות".