Secondo i dettagli condivisi dal CERT-UA e da ESET, l'attacco è stato condotto utilizzando una nuova versione di Industroyer, un malware già conosciuto per essere stato usato in precedenza da Sandworm in altre campagne e che nel 2015 si è reso protagonista del tristemente famoso attacco hacker alle infrastrutture energetiche Ucraine.