Enligt Mandiant har den skadliga programvaran kopplingar till ett ryskt säkerhetsföretag. Den riktar sig specifikt mot fjärrterminalenheter som följer en standard (IEC-104) som vanligtvis används för elektrisk överföring och distribution i Europa, Mellanöstern och Asien. Det rapporterar Bleeping Computer.

CosmicEnergy upptäcktes efter att en provversion laddats upp på en analysplattform för skadlig kod i december 2021, av någon med en rysk IP-adress.

Analyser har visat att programvaran har likheter med tidigare OT-malware som Industroyer och Industroyer.V2 som båda använts i attacker mot ukrainska energileverantörer i december 2016 och 2022.