Google wist in 2014 al het nodige van een groep staatshackers die volgens Westerse inlichtingendiensten in opdracht van de Russische autoriteiten werkt, zo blijkt uit een intern document dat openbaar is geworden. De groep staat bekend als Fancy Bear, Pawn Storm, APT28, Sofacy en Sednit.

Eind oktober 2014 was het anti-virusbedrijf Trend Micro dat als eerste een rapport over de aanvallers publiceerde. Een week later kwam beveiligingsbedrijf FireEye met een rapport waarin het stelde dat deze groep hackers door de Russische autoriteiten werd gesteund en verantwoordelijk was voor aanvallen op Georgië, Oost-Europese overheden en Europese veiligheidsorganisaties, alsmede organisaties en attachés in allerlei andere landen.

In september van dat jaar publiceerde Google echter al een intern rapport (pdf) waarin de malware en werkwijze van de groep werd beschreven. Zo infecteerden de aanvallers doelwitten via "saaie" exploits, aldus Google. Het ging om kwetsbaarheden in Microsoft Office die al sinds 2010 en 2012 waren gepatcht. "Deze exploits worden vaak als eerste door Chinese aanvallers gebruikt, maar zijn hergebruikt door de aanvallers achter de Sofacy-malware", zo laat het rapport weten.

Eenmaal actief probeerde Sofacy wachtwoorden van allerlei applicaties te stelen, zoals Outlook, The Bat en Eudora. Naast de Sofacy-malware gaat het rapport ook in op de X-Agent-malware, waarvan deze week een versie voor macOS werd ontdekt. Oorspronkelijk gaat het om Windows-malware die eerder al voor iOS en Linux werd aangepast. Google beschrijft in het rapport hoe de malware computers die niet via internet verbonden zijn via usb-sticks kan infecteren. De internetgigant laat zich echter niet uit wie er achter de malware en aanvallen zit. Het Google-rapport werd door Vice Magazine openbaar gemaakt.