Az Energetic Bear/Crouching Yeti számos, úgynevezett fejlett állandó fenyegetés (APT) kampányban vett részt. A Kaspersky kutatása szerint áldozatai szélesebb körből kerülnek ki, mint azt korábban hitték. Az azonosított áldozatok legnagyobb számban a következő szektorokból kerültek ki: gépipar, gyártás, gyógyszeripar, építőipar, oktatás, információtechnológia. A megtámadott szervezetek többsége az Egyesült Államokban, Spanyolországban és Japánban működik, de szép számmal található belőlük Németországban, Franciaországban, Olaszországban, Törökországban, Írországban, Lengyelországban és Kínában. Az ismert áldozatok jellegének ismeretében a támadások legkellemetlenebb eredménye a bizalmas adatok, például üzleti titkok és know-how információk illetéktelen kezekbe kerülése lehetett.
Rejtélyes eredet
A Kaspersky Lab kutatói számos meta funkciót figyeltek meg, amelyekből kideríthető lehet a kampány mögött álló bűnözők nemzeti hovatartozása. Időbélyeg elemzést végeztek 154 fájlon, és megállapították, hogy a legtöbb minta greenwichi idő szerint 6:00 és 16:00 között készült, vagyis bármelyik európai, illetve kelet-európai ország szóba jöhet. A szakértők ugyancsak elemezték a szerzők nyelvét. A vizsgált malware-ben található karaktersorozatok angol nyelvűek, amelyeket nem anyanyelvi személyek írtak. A közel 200 rosszindulatú bináris fájlban és kapcsolódó anyagban egyáltalán nem lelhetők fel cirill betűs tartalmak (vagy átiratok), nem úgy, mint a Red October, a Miniduke, a Cosmicduke, a Snake és a TeamSpy esetében. Ugyanakkor találtak francia és svéd anyanyelvű személyekre utaló nyelvi nyomokat.