Im Kern arbeitet fast16 mit 101 Regeln, die mathematische Berechnungen bestimmter Ingenieurs- und Simulationsprogramme verfälschen. Die zu Broadcom gehörenden Teams von Symantec und Carbon Black benennen nun LS-DYNA und AUTODYN als die beiden angegriffenen Anwendungen. Beide dienen dazu, reale Vorgänge wie das Crashverhalten von Fahrzeugen, die Modellierung von Materialien oder Explosionen zu simulieren.

Laut der Threat Hunter Team-Analyse interessiert sich die Hook-Engine von fast16 gezielt für Simulationen hochexplosiver Stoffe in LS-DYNA und AUTODYN. Die Malware prüft die Dichte des simulierten Materials und greift erst ein, wenn dieser Wert 30 g/cm³ übersteigt — eine Schwelle, die Uran nur unter der Schockkompression eines Implosionsgeräts erreichen kann. Die in der Simulationssoftware platzierten Hooks verfolgen drei Angriffsstrategien; die Manipulation wird ausschließlich bei vollständigen Durchläufen transienter Druck- und Detonationsberechnungen aktiv.

Die 101 Hook-Regeln lassen sich in 9 bis 10 Gruppen unterteilen, die jeweils unterschiedliche Versionen von LS-DYNA oder AUTODYN ins Visier nehmen. Das deutet darauf hin, dass die Entwickler Software-Aktualisierungen verfolgten und im Lauf der Zeit Unterstützung für weitere Versionen ergänzten — ein Hinweis auf eine methodische, über lange Zeit angelegte Operation. Die Forscher beschreiben, dass eine Hook-Gruppe für eine ältere Version teils erst nach einer neueren hinzugefügt wurde: Vermutlich kehrten die Anwender bei auffälligen Ergebnissen zu einer älteren Fassung zurück, bevor auch diese ins Visier geriet.

Fast16 ist so gebaut, dass es Rechner mit bestimmten Sicherheitsprodukten nicht infiziert. Zugleich verbreitet es sich automatisch auf andere Endgeräte im selben Netzwerk, sodass jede Maschine, auf der die Simulationen laufen, dieselben manipulierten Ergebnisse erzeugt.

SentinelOne hatte fast16 zuvor mit einem Fund verknüpft, den die Sicherheitsfirma in einem Textdokument machte: Die Zeichenfolge „fast16" tauchte in einer Datei auf, die die anonyme Hackergruppe The Shadow Brokers 2017 veröffentlicht hatte. Die Datei gehörte zu einem umfangreichen Bestand an Werkzeugen und Exploits, die angeblich von der Equation Group genutzt wurden — einem staatlich gesteuerten Akteur mit vermuteten Verbindungen zur US-amerikanischen National Security Agency (NSA). SentinelOne hatte zudem drei mögliche Zielprogramme genannt: LS-DYNA Version 970, die Software PKPM sowie das hydrodynamische Modell MOHID.

Gegenüber der Cybersicherheitsjournalistin Kim Zetter nannte Vikram Thakur, technischer Direktor bei Symantec, das nötige Fachwissen für ein solches Werkzeug im Jahr 2005 „atemberaubend". Ob eine moderne Variante von fast16 existiert, ist unbekannt. Symantec und Carbon Black heben hervor, dass das Verständnis dafür, welche Zustandsgleichungen (Equation of State) relevant sind, welche Aufrufkonventionen von welchen Compilern stammen und welche Simulationsklassen den Auslöser passieren, schon damals höchst ungewöhnlich war. Das Framework gehöre zur selben konzeptionellen Linie wie Stuxnet, bei dem Schadsoftware nicht nur auf ein Produkt, sondern auf einen konkreten physikalischen Prozess zugeschnitten wurde.