El grupo ruso de piratería Fancy Bear (también conocido como APT28) no solo se enfoca en en elecciones del hemisferio norte. Symantec descubrió que la célula hacker ha realizado trabajos de inteligencia en Europa y América del Sur, incluyendo espionaje a gobiernos, objetivos militares, una embajada y una "organización internacional muy conocida".
El grupo ha estado usando un conjunto común de herramientas para llevar a cabo estas prácticas, aunque recientemente ha ampliado su repertorio para incluir hacks que son considerablemente más difíciles de detener.
El equipo ruso se basa principalmente en una infección de malware de dos etapas. Un troyano apodado Sofacy (también conocido como Seduploader) maneja el reconocimiento inicial y descarga más malware, mientras que una puerta trasera conocida como SofacyX (X-Agent) roba información de las computadoras. Para ataques más persistentes, hay un rootkit llamado Lojax que apunta a la plataforma UEFI (donde se define la interfaz del sistema operativo) presente en muchas computadoras modernas. Cuando se encuentra en una memoria flash, Lojax puede sobrevivir incluso si reemplaza el disco rígido o se reinstala el sistema operativo.
Otro grupo, Earworm, ha estado utilizando campañas de correo electrónico de phishing contra objetivos militares en Asia y Europa con cierta superposición entre su sistema de control y el de Fancy Bear. Sin embargo, sus operaciones están separadas, lo que sugiere que puede ser otra operación rusa independiente en lugar de una extensión de Fancy Bear.
Una campaña de espionaje global en curso no sería algo sorprendente, ya que se requiere de relativamente pocos recursos para realizar estas campañas. Lo poco que se gasta en reclutar hackers dedicados podría generar enormes dividendos al reunir más inteligencia y socavar distintas instituciones.