האקרים הקשורים לקרמלין מתחזים לעובדים במחלקת המדינה האמריקאית, כחלק ממתקפת סייבר שמטרתה הדבקה של מחשבים השייכים לסוכנויות ממשלתיות, צוותי מחקר ועסקים שונים, בנוזקות, כך לדברי שתי חברות סייבר אמריקאיות. על פי הדיווח שפורסם הלילה (שישי) בסוכנות הידיעות רויטרס, מתקפת הסייבר, החלה ביום רביעי, מעידה כי רוסיה מעוניינת לחדש את המתקפה על יעדים אמריקאים, לאחר בחירות האמצע שחלו בתחילת החודש. 

גורמי מודיעין אמריקאים טענו בעבר כי רוסיה עמדה מאחורי שורה של מתקפות סייבר במהלך מערכת הבחירות לנשיאות ארצות הברית בשנת 2016, במטרה להגביר את התמיכה בדונלד טראמפ. עם זאת, גורמי ממשל וכן חברות אבטחה פרטיות הצהירו כי רוסיה לא התערבה בבחירות אמצע הקדנציה. 

במתקפה המדוברת, האקרים הקשורים ככל הנראה לממשל הרוסי, שלחו מיילים אשר נראים כאילו נשלחו מעובדים במחלקת המדינה. ההודעה עודדה את הנמנעים להוריד את המסמכים המצורפים, שנטען כי נשלחו מהת'ר נוארט, דוברת מחלקת המדינה, שהנשיא דונלד טראמפ ציין כי היא מועמדת לתפקיד השגרירה באו"ם. מחברת fireeye נמסר כי הקובץ מתקין תוכנה זדונית שתעניק להאקרים גישה למערכות.

מהחברה נמסר כי למעלה מ-20 מלקוחותיה, בהם גורמי אכיפת חוק וסוכנויות צבאיות, היו חלק ממוקדי התקיפה. fireeye ו-crowdstrike לא חשפו כמה ארגונים נפלו קורבן למתקפה, או האם היו מטרות ספציפיות. הן מסרו כי המתקפה בוצעה על ידי האקרים מקבוצה בשם ATP29, אשר לדברי חוקרים רבים קשורה לקרמלין. חברת אבטחת המידע קספרסקי, שמקורה ברוסיה, אישרה כי המתקפה אכן בוצעה על ידי קבוצת ההאקרים המדוברת והוסיפו כי הקבוצה לא היתה פעילה מאז שנה שעברה. 

חוקר בחברת fireeye הסביר לסוכנות הידיעות רויטרס כי המתקפה החלה בשני לקוחות שלהם - בית חולים וחברת ייעוץ. לאחר מכן הם השתמשו בתשתיות שלהם כדי לשלוח הודעות דיוג (פישינג) שונות, שנראה כאילו נשלחו ממחלקת המדינה. מוסקבה הכחישה בעבר לא פעם כי היא קשורה באופן לקבוצת ההאקרים או לפריצה לגורמים בארצות הברית.