В S21sec также отметили, что наиболее важные изменения в трояне были описаны его авторами на одном из подпольных форумов до появления в свободном доступе. «Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры», – следует из сообщения вирусописателей .
По данным экспертов, при заражении системы троян проверяет компьютер на наличие запущенных процессов таких виртуальных сред как VMware, Virtualbox или CWSandbox. Если выясняется, что на системе запущена песочница, троян создает ложный домен и пытается связаться с ним, имитируя отключенный сервер. Если данная проверка прошла удачно Citadel связывается с настоящим удаленным сервером.
