Sempre gli stessi 'nom de guerre': Fancy Bear, Pawn Storm e Advanced Persistent Threat 28 (Apt 28). Gli autori dell'attacco "massiccio e coordinato" contro la campagna elettorale di Emmanuel Macron, con decine di migliaia di mail interne e altri documenti pubblicati online venerdì notte, sono legati allo stesso gruppo di hacker che ha effettuato le intrusioni contro i democratici negli Stati Uniti a sua volta legato ai servizi militari del Gru, indicano i due gruppi di ricerca sulla cyver sicurezza, Flashpoint Intelligence basato a New York e Trend Micro basato a Tokio, citati dal Guardian.
E' stato Apt28 a registrare, il mese scorso, indirizzi esca per quello di Macron, en-marche.fr e mail-en-marche.fr. La stessa organizzazione ha poi registrato indirizzi mail da cui lanciare gli attacchi phishing al comitato del partito democratico Usa e alla campagna di Macron. I documenti sono stati postati da un utente identificato come Emleaks sul sito per la condivisione di dati Pastebin.
La campagna di Macron ha anticipato l'attacco riempiendo i suoi server di documenti falsi. Perché il modus operandi degli hacker è sempre lo stesso, quindi prevedibile: si creano finte pagine di login, le cosiddette 'phishing pages', in cui chi accede di fatto consegna username e password agli hacker che, una volta ottenuto materiale confidenziale, sono in grado di creare altre pagine di phishing ancora più convincenti e via di questo passo. La campagna di Macron ha inondato queste pagine con informazioni false e vere "in modo da far perdere un sacco di tempo agli autori degli attacchi", come ha spiegato Mounir Mahjoubi, il responsabile IT della campagna di Macron all'Huffington Post.