Leta 2017 so ga prvikrat zalotili v divjini, ko je napadal petrokemični obrat v Saudski Arabiji. Tedaj je skorajda povzročil veliko škodo, a je napaka v kodi omogočila, da so ga še ravno pravi čas odkrili. Izkazalo se je, da je Triton napadal tisti del sistema, ki bi moral predstavljati zadnjo zaščito pred okvaro zaradi virusnih napadov. Ime je dobil, ker je bila tarča Triconex, varnostni krmilnik podjetja Schneider Electric. To je bil tudi prvi odkrit virus, ki je imel zelo jasen cilj ogroziti čim več ljudi in premoženja, saj bi ob sprožitvi povzročil izpuste vodikovega sulfida ali pa eksplozijo.
Ključno vprašanje je, kako so napadalci uspeli priti do sistemov, ki bi morali predstavljati zadnji branik pred hekerskimi napadi. Problem je industrijski internet stvari (industry internet of things), na katerega skušajo v tovarnah povezati čim več naprav. To po eni strani omogoča oddaljen nadzor in krmiljenje, po drugi strani pa predstavlja vektor za napad. V omenjeni petrokemični tovarni je bil prisoten vse od leta 2014 in napadalci so ves ta čas pripravljali teren za napad. Našli so ranljivost (0-day) v Triconexovem firmwaru in jo izkoristili. Triton ali Tritis, kot se tudi imenuje, sedaj napada tudi druge obrate.
Avtorji Tritona ostajajo neznani. Sprva so obtoževali Iran, sedaj pa strokovnjaki menijo, da je resnični izvor Rusija. Na to kažejo tudi ostanki cirilice v kodi in IP-naslov, ki je v uporabi na moskovskem inštitutu za kemijo in mehaniko.
Schneider je zgledno sodeloval v preiskavi in javno razkril ranljivosti ter pripravil popravke. Toda podobno opremo izdelujejo tudi druga podjetja, ki so takisto lahko tarče. V preteklosti so uporabniki poizkušali vse povezati v internet, da bi imeli lažji dostop. Morda bo prihodnost ravno obratna, ko se bomo trudili čim več naprav umakniti z interneta.
