Entdeckt wurde fast16 eher beiläufig. SentinelOne versuchte, den frühesten ernsthaften Einsatz einer eingebetteten Lua-Engine in Windows-Malware nachzuvollziehen. Lua ist eine Skriptsprache, mit der sich der Funktionsumfang von Anwendungen erweitern lässt; hochentwickelte Frameworks wie Flame, Flame 2.0, PlexingEagle und Project Sauron banden eine solche Engine ein, um ihre Werkzeuge modular zu gestalten. Bei der Suche danach, wie weit diese Praxis zurückreicht, stießen die Forscher auf fast16 mit Komponenten aus dem Jahr 2005. Ihre Analyse zeigte, dass es sich um den ersten bekannten Lua-basierten Netzwerkwurm handelt, der auf Software für hochpräzise Berechnungen zielte.

Funktional sollte fast16 die mathematischen Ausgaben technischer und wissenschaftlicher Programme unauffällig verfälschen. SentinelOne verglich den Verbreitungsmechanismus mit einer „Streumunition", die mehrere „Wormlets" ausbringt. Diese verteilen die eigentliche Schadlast an möglichst viele Rechner einer Zielumgebung, indem sie dort nach Schwachstellen suchen und diese ausnutzen.

Die Forscher identifizierten drei Software-Pakete als wahrscheinliche Ziele: LS-DYNA 970, PKPM und die hydrodynamische Modellierungsplattform MOHID. Sie werden unter anderem für Crashtests, Strukturanalysen und Umweltmodellierung genutzt. LS-DYNA gilt SentinelOne zufolge als Software, die der Iran Berichten nach für Berechnungen im Zusammenhang mit seinem Nuklearwaffenprogramm eingesetzt haben soll – ein möglicher Hinweis darauf, dass dieser Bereich schon vor Stuxnet ein Ziel gewesen sein könnte.

Der Name „fast16" taucht in einem Dokument auf, das die Gruppe ShadowBrokers 2016 zu offensiven Cyberwaffen der National Security Agency veröffentlichte. SentinelOne ordnete die Malware jedoch weder der NSA noch einer anderen Stelle zu. Bemerkenswert ist, dass jemand das Schadprogramm vor über einem Jahrzehnt zu VirusTotal hochgeladen hatte, wo es nahezu unentdeckt blieb: Nur eine Engine stuft es überhaupt als bösartig ein, und das mit mittlerer Zuversicht.

Kamluk hält fast16 für das Werk eines staatlichen Akteurs. Software zu manipulieren, die hochpräzise Simulationen physikalischer Prozesse durchführt, übersteige die Möglichkeiten eines typischen Entwicklers und erfordere genaue Kenntnis des jeweiligen Fachgebiets, um subtile, aber wirksame Sabotage-Änderungen einzubauen. Ob jemals eine Organisation Opfer wurde, lässt sich angesichts des Alters kaum feststellen.

fast16 läuft ausschließlich auf Windows-XP-Systemen mit nur einem Prozessor – einer weitgehend veralteten Umgebung – und ist auf modernen Systemen nicht lauffähig. Den zugrunde liegenden Angriffsvektor hält Kamluk dennoch für hochrelevant: Hochpräzise Berechnungen, etwa im Finanzhandel, beim Training von KI-Modellen oder in Simulationssoftware, könnten heute Ziel einer ähnlichen, modernisierten Bedrohung sein. SentinelOne hat Yara-Regeln veröffentlicht, mit denen Organisationen ältere Systeme oder Datenarchive prüfen können.