עדויות אומרות שמאז ה15 במאי במשרד לאבטחת מידע טכנולוגי (Information Technology Security) הגרמני עובדים על טיהור מערכות הפרלמנט (Budenstag) מהאקרים. ע"פ חוקרי אבטחה נמצאו ראיות בפוגען ובתשתית התקיפה לאלה ששומשו בפריצה קודמת אשר יוחסה לAPT28.

אומנם FireEye לא ייחסו במאה אחוז לAPT28 אך היעד והמטרה מתאימים לאופי התוקפים של APT28. הם תקפו ממשלות זרות בעבר, בעיקר באירופה ובמזרח אירופה אשר נמצאים תחת מרחב ההשפעה שלהם כלומר נמצאות בקרבה פיזית לרוסיה. תקיפות אלו נעשות לצורך ריגול פוליטי.

FireEye מאמינים כי APT28 עובדים בחסות הממשל הרוסי ומטרתו של הגוף לספק מודיעין ממשלתי שממשלת רוסיה תוכל להשתמש בו על מנת להשיג יתרונות בתהליכי מו"מ עם אותן מדינות נתקפות.

עקב הדיונים של גרמניה עם רוסיה בנוגע למלחמה עם אוקראינה וההשתפות של גרמניה בדיון שנעשה באיחוד האירופאי להטלת סנקציות על רוסיה, FireEye משייכים תקיפות אלו APT28.

עובדי הIT בפרלמנט זיהו שני מחשבים שמנסים להעביר מידע רגיש לשרת במזרח אירופה, לאחר מכן נמצא גם כי המחשב של הקאנצלר נדבק ובאמצעות שליחת הזמנה מזוייפת לדיון שבה לינק לסוסטר בדוא"ל הפוגען התפשט ברחבי הפרלמנט.

לאחר חקירת הפוגען נמצא כי היה שימוש בפוגען דומה על ידי האקרים בחסות רוסיה בעבר. לאחר כמה שבועות הפוגען עדיין נראה פעיל בפרלמנט. 

לאחר החשיפה הראשונית, הפרלנט העביר חלק מהתעבורה לקו יותר מאובטח. עלתה הצעה להחליף את כל רכיבי התקשורת בפרלמנט אך הצעה זאת נשללה עקב כך שלא נראו דליפות מידע נוספות מאז ה-20 במאי.

נמצא ייחוס למערך Sofacy שהיה גם במבצע Pawn Storm ו-FireEye קוראים לו APT28. השיוך לAPT28 נעשה על ידי כך שנמצא מזהה עם אותה תעודת SSL כמו של שרת אחר אשר היה מיוחס לAPT28 בעבר בניסיונות Phishing. הקוד בו נמצא המזהה קומפל ב22 באפריל מה שיכול להעיד על זמן ההדבקה שהוא ה15 במאי.