Az APT 28 névre keresztelt csoport állami hivatalnokok és üzletemberek jelszavait igyekezett eltulajdonítani a hotelek wi-fi hálózatain keresztül. A támadássorozat július elsõ hetében kezdõdött legkevesebb hét európai és egy közel-keleti országban, az adott hotelben dolgozó kollégák megtévesztésére szolgáló adathalász emailek segítségével. A csatolt dokumentumban egy makrót helyeztek el, ami megnyitáskor automatikusan feltelepítette az APT 28 névjegyének számító GAMMEFISH malware-t. A kémprogram ezt követõen lényegében átadta az irányítást a hekkercsoportnak a hotel wi-fi hálózata felett, potenciálisan megszerezve egyes vendégek jelszavait, illetve titkosítatlan üzeneteit.

Több kormány és kiberbiztonsági cég egyenesen a GRU-hoz, azaz az orosz katonai hírszerzéshez köti az APT 28-at, de Moszkva természetesen vehemensen tagadja a vádakat. Az amerikai székhelyû FireEye igazgatója, Benjamin Read a Reutersnek úgy nyilatkozott, minden jel a fenti állítás helyességét látszik igazolni, ugyanakkor valóban nem rendelkeznek egyelõre megdönthetetlen bizonyítékkal erre vonatkozóan.

A GAMEFISH nem mellesleg ugyanannak a kiszivárgott NSA (Amerika Nemzetbiztonsági Hivatal) szoftvernek, az EternalBlue-nak a részeit alkalmazza, melyet a májusi WannaCry zsarolóvírus, és a júniusban támadó NotPetya. 

A FireEye ugyan nem volt tanúja adatlopásnak, ugyanakkor nem lehet tudni, hogy pontosan milyen nagy kiterjedésû a támadás, illetve a pontos célpontok kiléte sem tudható biztosan, de az ismert fertõzések alapján kirajzolódó mintázat alapján elsõsorban amerikai kormányhivatalnokok és politikusok, valamint üzletemberek lehettek azok.