Отмечается, что эксперты получили технические доказательства участия во взломе двух хакерских группировок APT28 (Fancy Bear) и Sandworm. Первая атака была совершена в марте 2017 года, за несколько недель до первого тура президентских выборов во Франции. По данным источников Le Monde, операция готовилась несколько месяцев. Для кражи паролей и личных данных хакеры рассылали фишинговые письма членам партии Макрона "Вперед, Республика!" и его родственникам. Письма перенаправляли пользователей на подделки под сайт партии.
В апреле к делу подключилась хакеры из Sandworm. По словам бывшего сотрудника FireEye Майкла Матониса, эта группа прежде всего специализируется на участии в операциях с высоким риском, особенно когда время "поджимает". Sandworm использовали фишинг и зараженные вирусами электронные письма. Для того, чтобы возбудить любопытство сотрудников предвыбороного штаба Макрона и заставить их нажимать на вредоносные сслыки, хакеры рассылали им копию статьи Le Monde о российском финансировании конкурентов из "Национального фронта". Приложение содержало вирус.
В результате хакерской атаки 5 мая, в преддверии второго тура президентских выборов во Франции, в интернете оказались гигабайты писем и внутренних документов предвыборного штаба Макрона. В команде будущего французского президента тогда заявляли, что вместе с подлинными документами в Сети оказались и фальшивые.
В преддверии второго тура появились и слухи о наличии у Макрона тайного офшорного счета на Багамских островах. Об этом в ходе решающих предвыборных дебатов, еще до публикации взломанной почты, заявила соперница Макрона Марин Ле Пен, кандидатуру которой открыто поддержал президент РФ Владимир Путин. Штаб Макрона подозревал в распространении фейка об офшоре российские государственные СМИ RT и Sputnik. Те же СМИ распространяли вбросы, что Макрон гей и "агент США".
Российские власти неоднократно отрицали причастность РФ к хакерским атакам. В июле 2017 года глава французского Национального агентства безопасности информационных систем (ANSSI) Гийом Пупар заявил, что атака на штаб Макрона была "настолько лишена специфики и была такой простой, что совершить ее мог практически кто угодно", причем в одиночку. Он также заявил, что доказательств причастности APT28 ко взлому найти не удалось.
Группа APT28 фигурировала в докладе спецпрокурора США Роберта Мюллера, расследовавшего российское вмешательство в американские выборы. По данным этого расследования, APT28 объединилась с подразделением ГРУ26165, нескольким сотрудникам которого в США были предъявлены обвинения во взломе компьютеров Демократической партии во время предвыборной кампании.
Хакерскую группу Sandworm связывают с подразделением ГРУ 74455. Считается, что эта группа стояла за разрушительной атакой на мировые корпоративные сети, в том числе российские, с помощью вируса NotPetya. Суммарный ущерб от вируса по всему миру составил около 10 млрд долларов. В РФ от него пострадали "Роснефть", "Башнефть", Сбербанк, "Инвитро", "Евраз".
Среди других целей хакеров из ГРУ были Белый дом, МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестаг, НАТО, ОБСЕ, МОК, WADA, JIT, ряд редакций иностранных СМИ, десятки российских оппозиционеров и членов НКО и журналистов, в том числе сотрудников The Insider.