Dass nun ein Angriff mit Citadel zum ersten Mal ganz gezielt auf Unternehmen einer vollkommen anderen Branche erfolgte, ist besorgniserregend. Über die Gründe kann nur spekuliert werden: Womöglich hatten es die Angreifer auf Unternehmensdaten, geistiges Eigentum oder den Zugang zu anderen geschützten Bereichen abgesehen. Betroffen sind gegenwärtig einer der größten Petrochemie-Anbieter im Nahen Osten und ein regionaler Zulieferer von Rohmaterialien.
Die Citadel Schadsoftware wurde erstmals 2012 identifiziert. Entwickelt wurde sie als "Man-in-the-Browser-Attacke", um durch sogenannte Webinjects an Bankdaten zu kommen. Im Laufe der Zeit wurde sie weiterentwickelt und bietet nun eine Fülle an Funktionen, um Informationen zu entwenden und infizierte Computer aus der Ferne zu steuern. In diesem Fall wurden Benutzerzugriffe auf verschiedene, mit dem Internet verbundene, Systeme wie beispielsweise Webmail generiert. Dies geschieht durch "http POST"-Grabbing. Hierbei greift die Schadsoftware die durch den Benutzer eingegebenen Informationen ab, noch bevor diese an den Server weitergeleitet wurden. Noch während der Nutzer seine Daten eingibt um sich einzuloggen, schickt die Schadsoftware die Informationen an den Hacker. Dieser kann sich nun, getarnt als legitimer Nutzer, in das Netzwerk einloggen, hat Zugriff auf E-Mails oder kann schädliche Software verschicken.