Tomu, že akcia nebola dielom individuálneho hackera alebo nejakej skupiny, ale do nej bol zapojený štát, podľa Bellingcatu nasvedčujú jeho analýzy. Novinár britského denníka The Guardian Luke Harding, ktorý sa stal tiež obeťou útoku, je presvedčený, že za útokom stojí ruská vojenská rozviedka GRU.

Prvý útok bol podľa serveru nahlásený v apríli tohto roku, ale niektoré skutočnosti ukazujú na to, že kampaň vrcholila už v marci. Cieľom takzvaného phishingového útoku, teda podvodných e-mailov s cieľom získať citlivé údaje, boli jedinci používajúci šifrovaný e-mailový účet ProtonMail. Najmenej jeden z útokov bol úspešný, uviedol Bellingcat. Šéf ProtonMail podľa serveru uviedol, že ide o "najsofistikovanejší útok, aký kedy videl".

Bellingcat, ktorý sa preslávil napríklad odhalením identity agentov GRU zapojených do prípadu minuloročnej otravy bývalého ruského agenta Sergeja Skripala, si myslí, že phishingový útok bol súčasťou širšej hackerskej operácie proti novinárom a vedcom zameraným na Rusko.

Terčom útoku sa stali napríklad dvaja analytici Bellingcatu, jeden investigatívny novinár BBC, traja žurnalisti z The Guardian alebo tri novinári z rôznych ruských investigatívnych médií. Analytik bezpečnostných hrozieb Bellingcatu Moritz Rakuszitzky povedal českému Rádiožurnálu, že Čechov je medzi obeťami útoku najviac, dohromady osem. "Je to pravdepodobne najviac zastúpená krajiny. Sú to novinári, ľudia z neziskových organizácií a výskumníci," dodal.

Terčom bolo koncom júla aj niekoľko analytikov českého inštitútu Európske hodnoty. Jeho výkonný riaditeľ Jakub Janda dnes vo vyhlásení uviedol, že inštitút neprišiel o žiadne citlivé dáta. Bellingcat predpokladá, že pravdepodobným páchateľom útoku je ruský štát, alebo možno aj niekto, kto sa ho snaží zdiskreditovať.
Janda uviedol, že útok bol cenou za to, že český inštitút "zverejňuje nepriateľské aktivity ruského diktátorského režimu rovnako v našom regióne strednej a východnej Európy". Počas útoku podľa neho inštitút neprišiel o žiadne citlivé dáta.