Bezpečnostní firmy i tajné služby monitorují činnost hned několika hackerských skupin, jejichž stopy vedou do Ruska. Nejznámější je zřejmě kyberšpionážní skupina APT28, přezdívaná též Fancy Bear nebo Sofacy. Jsou jí připisovány útoky především v USA a v Evropě.
Při incidentu byla narušena důvěrnost dat v sítích strategické instituce státní správy: „Prvotním vektorem útoku byl spear-phishingový e-mail. Následná analýza indikátorů kompromitace ze strany NÚKIB ukázala, že útočníkem byl téměř jistě státní aktér (pravděpodobnost 90–100 %) a velmi pravděpodobně (pravděpodobnost 75–85%) skupina známá jako Sofacy, APT28 či Fancy Bear. Odborná komunita, včetně partnerů NÚKIB, spojuje Sofacy s vojenskou rozvědkou Ruské federace GU (známá též jako GRU).“
Ne u každé skupiny je ale napojení na ruské struktury tak podrobně popsané. Jindy může hackerská skupina pracovat pro svůj vlastní zisk, a musí si jen dávat pozor, aby útočila na ty správné cíle: „Často zde existuje nepsaná dohoda, že vláda si nebude jejich činnosti všímat, pokud jim pomohou jinak. Takže nevylučuji nějakou spolupráci,“ řekl nám Chris Kubic, bývalý šéf informační bezpečnosti NSA, který nyní působí ve firmě Fidelis Cybersecurity. „A také bych neřekl, že to dělá jenom Rusko. Po celém světě je více států, které buď nechtějí, nebo nedokážou vyšetřovat a zastavit kyberkriminalitu na svém území. V některých zemích je těžké získat dobrou práci a kyberkriminalita je možností, jak si rychle vydělat velké peníze.“