Durante el análisis, varios indicadores iniciales apuntan a actores de amenazas con base en Rusia, entre ellos:

Deputy Loader y Sheriff Downloader contienen recursos en ruso;

La cuenta de Dropbox utiliza la configuración regional rusa; y

Se dirigen a Ucrania.

X-Force considera que la puerta trasera Sheriff probablemente se diseñó para el ciberespionaje y la recopilación de información, más que para cometer delitos cibernéticos con fines económicos. El malware se centra en exfiltrar datos y tomar capturas de pantalla, manteniendo un perfil bajo diseñado para compromisos prolongados. Se desarrolló con la clara intención de mantenerse lo más encubierta posible, asegurando que la comunicación y la mayoría de los artefactos que se depositan en el disco permanezcan cifrados. La comunicación en la red se mantiene sigilosa mediante el abuso de la API legítima de Dropbox, así como de ukr.net, un sitio web popular en Ucrania, que se utiliza para escenificar el malware. Sheriff también implementa varias funciones autodestructivas para borrar los rastros después de la ejecución. Por último, el código bien estructurado, la estructura de carpetas, la implementación modular, la información de registro y la amplia funcionalidad y configurabilidad indican un mayor nivel de sofisticación, como cabría esperar de un grupo patrocinado por el Estado.

La investigación también ha revelado varios solapamientos menores con campañas anteriormente documentadas y atribuidas al conocido grupo de actores de amenazas rusos Turla (también conocido como ITG12). Por ejemplo, la puerta trasera Kazuar .NET del grupo presenta varias similitudes con Sheriff, entre ellas:

Kazuar también mantiene una estructura de carpetas un poco similar;

Aunque es diferente, Kazuar también genera un GUID y utiliza el número de serie de la víctima;

Kazuar también implementa información de registro y utiliza AES y RSA cifrado;

Kazuar también es modular, aunque parece referirse a “plugins” en lugar de módulos;

Kazuar también utiliza valores de intervalo máximos y mínimos; y,

Kazuar admite comandos similares a Sheriff, incluidos "Suicide", captura de pantalla, ejecución de línea de comandos, ejecución binaria, eliminación de archivos, exfiltración y actualización automática.

Cabe destacar que la puerta trasera Crutch, atribuida a Turla por ESET, también utiliza la API de Dropbox para la comunicación C2, de forma similar a Sheriff, aunque no está basada en .NET.

Investigaciones posteriores también revelaron coincidencias entre Sheriff y la puerta trasera Prikormka de la operación Groundbait, entre ellas:

Puerta trasera modular con un módulo de descarga, núcleo y captura de pantalla;

Prikormka también mantiene dos carpetas en %USERPROFILE%\AppData\Local\ para cargas y descargas;

Prikormka también utiliza extensiones personalizadas para identificar los archivos que deben cifrarse y comprimirse antes de su exfiltración;

El módulo de captura de pantalla de Prikormka utilizaba ".tgz" como parte de la extensión personalizada, mientras que el módulo de captura de pantalla de Sheriff utilizaba ".tgr"; y

Los módulos Prikormka enumeran "Cycle" como una de las funciones de exportación requeridas, que es similar a la clase "MainCycle" utilizada por el módulo Sheriff Downloader.

Kaspersky Labs documentó posteriormente fuertes superposiciones entre Prikormka y CloudWizard APT. X-Force también notó varias similitudes entre Sheriff y CloudWizard, incluyendo:

Puerta trasera modular con un módulo principal que gestiona la configuración y C2 para cada módulo;

CloudWizard también utiliza AES y RSA para cifrar/descifrar archivos ZIP antes/después de cargarlos y descargarlos;

CloudWizard también es compatible con Dropbox como mecanismo C2 con autenticación OAuth;

Tanto CloudWizard como Sheriff contienen una función “GetSettings”/”get_Settings” para recuperar la configuración de cada módulo;

Tanto el módulo de captura de pantalla de CloudWizard como el de Sheriff admiten un argumento "WindowsTitle", para compararlo con el título de la ventana actual antes de tomar una captura de pantalla;

CloudWizard, Prikormka y Sheriff comparten el mismo intervalo de captura de pantalla de 15 minutos; y,

Los módulos de listado de archivos de CloudWizard y Prikormka se denominan "tree", que es el nombre que Sheriff utiliza para la exfiltración de una lista de archivos.

X-Force cree que la puerta trasera de Sheriff se utilizó como parte de una operación selectiva. Es posible que el malware esté relacionado con el APT CloudWizard, alineado con Rusia, que se sabe que ha atacado entidades en Ucrania en el pasado. Existe una menor posibilidad de conexión con el clúster de amenazas Turla (ITG12) debido a superposiciones menores en TTP y malware.