Ancak bir sonraki saldırıdan sonra, Volexity bilgisayar korsanlarının trafiğinin daha eksiksiz kayıtlarını almayı başardığında, analistleri gizemi çözebildiler: Şirket, bilgisayar korsanlarının müşterilerinin sistemlerini araştırmak için kullandıkları ele geçirilen makinenin adını sızdırdığını buldu. Barındırıldığı alanın adı; aslında yolun karşısındaki başka bir kuruluşun adı. Adair, “O noktada nereden geldiği yüzde 100 açıktı” diyor. “Sokaktaki bir araba değil. Yan taraftaki bina.”
Volexity, bu komşunun işbirliğiyle ikinci örgütün ağını araştırdı ve Wi-Fi saldırısının kaynağının belirli bir dizüstü bilgisayar olduğunu buldu. Bilgisayar korsanları, Ethernet aracılığıyla yerel ağa bağlı bir bağlantı istasyonuna bağlanan bu cihaza sızmış ve ardından Wi-Fi özelliğini açarak hedef ağda radyo tabanlı bir röle görevi görmesine olanak tanımıştı. Volexity, bilgisayar korsanlarının hedefin Wi-Fi ağına sızmak için bir şekilde çevrimiçi olarak elde ettikleri ancak muhtemelen iki faktörlü kimlik doğrulama nedeniyle başka bir yerden yararlanamadıkları kimlik bilgilerini kullandıklarını tespit etti.
Volexity sonunda ikinci ağdaki bilgisayar korsanlarını iki olası izinsiz giriş noktasına kadar takip etti. Bilgisayar korsanlarının diğer kuruluşa ait bir VPN cihazını ele geçirdiği görülüyor. Ancak aynı zamanda kuruluşun Wi-Fi’sine de girmişlerdi. bir diğer Ağdaki cihazların aynı binada olması, bilgisayar korsanlarının nihai hedeflerine ulaşmak için Wi-Fi aracılığıyla üç adede kadar ağı zincirleme bağlamış olabileceğini düşündürüyor. Adair, “Kim bilir kaç cihaz veya ağ ele geçirildi ve bunu yapılıyordu” diyor.
Aslında Volexity, bilgisayar korsanlarını müşterilerinin ağından çıkardıktan sonra bile, bilgisayar korsanları o baharda yeniden Wi-Fi yoluyla sızmayı denediler ve bu kez konuk Wi-Fi ağında paylaşılan kaynaklara erişmeye çalıştılar. Adair, “Bu adamlar son derece ısrarcıydı” diyor. Ancak Volexity’nin bir sonraki ihlal girişimini tespit edebildiğini ve davetsiz misafirleri hızla kilitleyebildiğini söylüyor.
Volexity, soruşturmasının başlarında, Ukrayna odaklı müşteri organizasyonundaki bireysel çalışanları hedef almaları nedeniyle bilgisayar korsanlarının Rus kökenli olduğunu varsaymıştı. Daha sonra Nisan ayında, yani ilk saldırıdan tam iki yıl sonra, Microsoft, Windows’un yazdırma biriktiricisindeki, Rusya’nın APT28 hacker grubu (Microsoft grubu Forest Blizzard olarak adlandırıyor) tarafından hedef makinelerde yönetici ayrıcalıkları elde etmek için kullanılan bir güvenlik açığı konusunda uyardı. Volexity’nin müşterisinin Wi-Fi tabanlı ihlalinde analiz ettiği ilk bilgisayarda geride kalan kalıntılar, bu teknikle tam olarak eşleşiyordu. Adair, “Tam olarak birebir bir maçtı” diyor.