一家美国安全企业披露了一组隶属于俄罗斯政府的黑客——并将其命名为 APT28。该组织曾针对格鲁吉亚及其它多个东欧国家广泛开展间谍活动。两年半之后，APT28——也被称为“奇幻熊”或者“Sofacy”——开始在网络安全行业之外得到高度关注，因为其对美国民主党竞选委员会开展攻击并泄露出大量内部文件与电子邮件。在FireEye公司报告之前，APT28一直是网络安全领域之内的秘密角色。当时，几家相关厂商有意共享与该黑客组织相关的信息。甚至谷歌公司也曾对该组织开展调查，并整理出一份长达40页的技术性报告，但却从未进行公开发表。这类文件在威胁情报业内可以算是一种常见的指导性资料，但公众则很少会从谷歌处看到这样的报告。此份报告来自谷歌最有趣的一项数据来源，其中涉及各类恶意软件与网络安全威胁——Virus Total，Virus Total是一个提供免费的可疑文件分析服务的网站，由Google于2012年收购获得。报告当中提到APT28所使用的恶意软件，包括Sofacy与 X-Agent，乃是“由国家资助打造的复杂工具，主要针对前苏联各成员国、北约成员国及其它西欧国家使用”。

    尽管谷歌公司的安全研究人员并不会深入探究这些活动背后的真正操作者，但他们暗示称，他们认同目前的普遍观点——即APT28正以一种非常聪明的间谍方式帮助俄罗斯政府工作。具体来讲，他们为自己的报告选择了这样一条标题：《窥探水族馆》。虽然这条标题初读起来似乎相当晦涩，然而对于关注俄罗斯间谍活动的从业者而言，其表达却再清晰不过——俄罗斯的军事情报机构总部被称为GRU，亦称格勒乌，亦被俗称“水族馆”。Comae Technologies公司与OPCDE大会创始人兼安全研究员Matt Suiche在接受采访时表示，“看起来谷歌公司的研究人员在Sofacy被正式披露之前就对其拥有相当程度的了解。另外，谷歌亦在Sofacy与X- Agent被FireEye、ESET乃至CrowdStrike发现前就将其与俄罗斯政府联系了起来。”

   谷歌公司安全研究人员们指出APT28利用其首阶段恶意软件Sofacy攻击了大量目标，但在X-Agent阶段则开始组织更具针对性的复杂攻击——X-Agent最近曾被用于攻击乌克兰军事单位等“高优先级目标”。谷歌在报告中提到，“Sofacy的使用频率达到X-Agent的三倍以上，目前已经收集到超过600份不同样本。”谷歌公司的一位发言人通过电子邮件指出，该公司的“安全团队一直在监控各类针对互联网用户的潜在威胁，并会定期发布信息以更好地对用户加以保护。”格鲁吉亚遭受Sofacy恶意软件侵扰的比例最高，其次分别为罗马尼亚、俄罗斯与丹麦。尽管这份报告现在看来在内容上有些过时，但它的存在证明APT28确实曾经利用高复杂度恶意活动打击政治利益相关目标，这无疑背叛了该组织昵称中所表达的建立初衷。另外，这亦代表着像谷歌这样一家并未像反病毒与安全厂商那样在成千上万客户计算机上安装流量监控软件以专门检测恶意软件的企业，同样有能力掌握大量与政府支持型黑客组织有关的确切信息——这显然得益于谷歌对于大规模数据的访问能力。