Na Demokratickou stranu podle dokumentu útočily hned dvě skupiny označované jako APT28 a APT29 a to dlouhodobě již od roku 2015, nicméně NSA monitoruje aktivitu hned několika desítek ruských státem zřízených hackerských skupin s kódovým označením v tabulce níže.
V dokumentu se dále píše o některých fingerprintech, které by mohly odhalit, že útočí právě Rusko. Jedná se třeba o kusy PHP kódu, který je velmi typický právě pro zmíněné ruské skupiny. Američané zároveň vedou seznamy IP adres, které Rusové používají, ačkoliv nikdy neútočí přímo, ale skrze prostředníka v neutrálním prostoru. Může se jednat o libovolné servery na internetu mimo ruské území, anebo i počítače nic netušících obětí, které jsou zapojené do botnetu.
Je tedy velmi pravděpodobné, že některé botnety, které na první pohled slouží jen k rozesílání spamů a další obvyklé malwarové činnosti, ve skutečnosti slouží jako anonymizační brány pro podobné státem organizované útoky, a ť už za nimi stojí Rusko, Čína, či západní země, poněvadž internet je už dávno kybernetickým bojištěm, na kterém se realizují všechny země s dostatečným technologickým know-how.