Представлений аналітичний звіт демонструє, як APT-групи, пов’язані з ГРУ, працюють у кіберпросторі в межах єдиної скоординованої системи, а не як окремі актори.

У звіті реконструйовано логіку роботи таких підрозділів, як APT28 та APT44, з поясненням того, як кібероперації поєднуються з розвідкою, саботажем та інформаційними кампаніями. Аналіз показує, що така активність зазвичай прив’язана до конкретних подій — війн, виборів, політичних криз, а різні підрозділи виконують визначені ролі в межах спільної системи.

APT28 здебільшого працює на довгостроковий доступ і збір розвідувальної інформації, тоді як APT44 відповідає за деструктивні дії, зокрема атаки на критичну інфраструктуру. Водночас дедалі частіше простежується зв’язок між кіберопераціями та кінетичними ударами. Сам доступ до систем розглядається як довготривалий ресурс.

Звіт описує повний цикл операції — від вибору цілі та первинного доступу до переміщення всередині мережі, збору й виведення даних та їх подальшого використання.