Wirus Citadel (mutacja Zeusa) atakował głównie polskich użytkowników serwisów finansowych – banków i firm pośredniczących w płatnościach online. Trzy domeny wykryte przez NASK związane z jego działaniem to infocyber.pl, secblog.pl oraz online-security.pl. Ruch z nich został przekierowany na serwer kontrolowany przez CERT Polska, działający w ramach NASK zespół zajmujący się bezpieczeństwem, w celu gromadzenia i analizy danych. Dziennie odnotowywano średnio 8 tys. połączeń z różnych komputerów. Między 11 marca a 4 kwietnia br. zarejestrowano 164,3 tys. unikalnych adresów IP zaatakowanych przez Citadel. Dotknięte nim komputery pochodziły z 75 krajów, ale najczęściej ofiarami byli Polacy (77,6 proc.).

Botnety Citadel umożliwiają również ściąganie innego złośliwego oprogramowania, prowadzenie ataków sieciowych typu DDoS, dystrybucję spamu. Polska infrastruktura sieciowa była wykorzystywana do rozpowszechniania i kontrolowania odmiany Citadel o nazwie „plitfi”. Dzięki niej cyberprzestępcy mogli śledzić i rejestrować, w formie zrzutów ekranu lub nagrań, działania w komputerze atakowanego. Pozwalało to na przechwytywanie danych logowania w momencie, gdy użytkownik był proszony o ich wprowadzenie. Dodatkowo osoby odpowiedzialne za ataki zyskiwały możliwość modyfikacji witryny systemu transakcyjnego. Np. wyświetlano komunikaty o rzekomo błędnym przelewie. Citadel umożliwiał przekierowanie danej domeny na inny adres IP w celu zablokowania użytkownikowi dostępu do stron, które mogłyby mu pomóc w usunięciu złośliwego oprogramowania.

Przejęcie domen związanych z Citadel to kolejna akcja NASK wymierzona w cyberprzestępców.