Согласно данным технического анализа, ранее произведенного специалистами FireEye, Dragos и Symantec, вредоносное ПО Triton предназначено специально для вмешательства в работу системы Triconex Safety Instrumented System (SIS) от Schneider Electric и способно вызывать автоматическое завершение промышленных процессов или переводить системы в небезопасный режим.
По словам экспертов FireEye, собранная информация позволяет с "высокой точностью предположить", что активность по внедрению в компьютерные системы, в ходе которой был применен Triton, якобы "поддерживалась Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ)", расположенным в Москве.
В FireEye полагают, что Triton тестировала некая хакерская группа TEMP.Veles, связанная с РФ. По версии компании, к данному вредоносному коду якобы причастен некий профессор, работающий в ЦНИИХМ, чье имя не раскрывается.
Доклад FireEye не связывает ЦНИИХМ непосредственно с вредоносным ПО Triton, а с второстепенными модулями, используемыми TEMP.Veles. На связь, по мнению специалистов, указывают несколько фактов, в частности, IP-адрес 87.245.143.140, якобы принадлежащий лаборатории; многочисленные относящиеся к Triton файлы содержат названия и артефакты на кириллице; время создания вредоносных файлов совпадает с часовым поясом Москвы.
Эксперты не исключили вероятность, что один или несколько сотрудников ЦНИИХМ осуществляли деятельность, связанную с TEMP.Veles, без ведома руководства.