פריצה לפרלמנט הגרמני
עדויות אומרות שמאז ה15 במאי במשרד הגנת הit עובדים על טיהור מערכות הפרלמנט (בונדסטאג) מהאקרים. על פי חוקרי אבטחה נמצאו ראיות בפוגען ובתשתית התקיפה לאלה ששומשו בפריצה קודמת אשר יוחסה לAPT28.
אומנם פייראיי לא ייחסו במאה אחוז לAPT28 אך היעד והמטרה מתאימים לאופי התוקפים של APT28. הם תקפו ממשלות זרות בעבר, בעיקר באירופה ובמזרח אירופה אשר נמצאים תחת מרחב ההשפעה שלהם כלומר נמצאות בקרבה פיזית לרוסיה. תקיפות אלו נעשות לצורך ריגול פוליטי.
פייראי מאמינים כי איפיטי עובדים בחסות הממשל הרוסי ומטרתו של הגוף לספק מודיעין ממשלתי שממשלת רוסיה תוכל להשתמש בו על מנת להשיג יתרונות בתהלי משא ומתן עם אותן מדינות נתקפות.
עקב הדיונים של גרמניה עם רוסיה בנוגע למלחמה עם אוקראינה וההשתפות של גרמניה בדיון שנעשה באיחוד האירופאי להטלת סנקציות על רוסיה, פייראיי משייכים תקיפות אלו לאיפיטי28.
סקירה:
עובדי הit בפרלמנט זיהו שני מחשבים שמנסים להעביר מידע רגיש לשרת במזרח רוסיה,  לאחר מכן נמצא גם כי המחשב של הקאנצלר נדבק ובאמתעות שליחת הזמנה מזוייפת לדיון שבה לינק לסוסטר בדואל הפוגען התפשט ברחבי הפרלמנט.
לאחר חקירת הפוגען נמצא כי היה שימוש בפוגען דומה על ידי האקרים בחסות רוסיה בעבר. לאחר כמה שבועות הפוגען עדיין נראה פעיל בפרלמנט.
שלב הטיהור:
לאחר החשיפה הראשונית הפרלנט העביר חלק מהתעבורה לקו יותר מאובטח. עלתה הצעה להחליף את כל רכיבי התקשורת בפרלמנט אך הצעה זאת נשללה עקב כך שלא נראו דליפות מידע נוספות מאז ה20 במאי.
ייחוס:
נמצא ייחוס למערך סופסי שהיה גם במבצע פונסטור ופייראי קוראים לו איפיטי28. השיוך לאיפיטי נעשה על ידי כך שנמצא מזהה עם אותה תעודת ssl כמו של שרת אחר אשר היה מיוחס לאיפיטי בעבר בניסיונות פישינג. הקוד בו נמצא המזהה קומפל ב22 באפריל מה שיכול להעיד על זמן ההדבקה שהוא ה15 במאי.

.