Verschillende vitale energiebedrijven in Europa en Verenigde Staten zijn met malware geïnfecteerd geraakt nadat personeel een getrojaniseerde versie van handelssoftware X_Trader installeerde. Dat stelt antivirusbedrijf Symantec in een analyse. De besmette X_Trader software leidde ook tot de supplychain-aanval bij voip-leverancier 3CX.

X_Trader is door Trading Technologies ontwikkelde software voor het handelen in derivaten. In 2020 besloot Trading Technologies de support van X_Trader te stoppen, maar de handelssoftware werd nog wel via de officiële website aangeboden. Aanvallers wisten toegang tot systemen van Trading Technologies te krijgen en voorzagen de officiële versie van X_Trader van een backdoor.

Een medewerker van voip-leverancier 3CX installeerde de besmette versie van X_Trader op zijn eigen privécomputer, die hij ook gebruikte voor zijn werk bij 3CX. Via de privécomputer wisten de aanvallers toegang te krijgen tot de ontwikkelsystemen van 3CX, waardoor ze ook aan de desktopapplicatie van 3CX malware konden toevoegen.

Symantec stelt dat de besmette versie van X_Trader ook door twee vitale organisaties in de energiesector is geïnstalleerd. Het gaat om een organisatie in Europa en één in de Verenigde Staten. Ook raakten twee financiële handelsorganisaties besmet, aldus de virusbestrijder, die geen namen bekendmaakte. Securitybedrijven vermoeden dat de aanval is uitgevoerd door een vanuit Noord-Korea opererende groep met financiële motieven. Het kan echter niet worden uitgesloten dat verkregen toegang tot organisaties ook voor andere doeleinden wordt gebruikt.