A Potao kártevő is az orosz illetőségű Sandworm csoport alkotása lehet. A 2013. óta működő bűnszervezet nem csak az ukrán konfliktus idején vett részt akciókban, de többek közt a NATO, a lengyel kormányzat, illetve nyugat-európai kormányzati hivatalok ellen is indított már támadást. Repertoárjukban emellett különféle energetikai vállalkozások, francia távközlési cégek, és egyéb amerikai vállalatok elleni célzott kémkedés is szerepel. A kártevő minden felhasználói aktivitást képes volt kikémlelni, így a helyi gép beállításai (proxy, telepített szoftverek, nemrég megnyitott fájlok, stb.) mellett gyűjtötte a böngészési előzményeket, egy fájlkiterjesztési lista alapján a szöveges dokumentumokat is ellopta, a háttérben egy billentyűzet naplózó figyelte a leütéseket, de a vágólap (Clipboard) tartalmát, és a Skype beszélgetéseket is fürkészte. A fejlett kártevő a támadók távoli irányító szerverével (C&C) 2048 bites titkosított kommunikációt folytatott, hogy ezzel is nehezítse a leleplezést.
A trójai terjesztésénél a klasszikus trükkökkel találkozhattunk, vagyis testre szabott célzott spam levelekkel igyekeztek a címzetteket megtéveszteni. Érdekesség, hogy a kártevő 2013-ban esküvői meghívóként is ki volt küldve, 2014-ben pedig Krimi postai szolgáltatásokat ajánlottak benne a címzetteknek. A Potao vizsgálata során az egyik legérdekesebb felfedezés kétségkívül az volt, hogy a 2014-ben sajnos megszűnt nyílt forráskódú titkosító szoftver, a népszerű TrueCrypt egy orosz nyelvű lokalizált változatába is belerejtették a kártevőt, így aki a truecryptrussia.ru weboldalról töltötte azt le, az már egy kémkedő trójaival megfertőzött telepítő csomagot kapott.