Das Sicherheitsunternehmen nennt diese Gruppe APT-29. Dabei steht APT für Advanced Persistent Threat – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Hammertoss nutze eine solch raffinierte Kombination an Tricks, wie man sie bislang noch nicht gesehen habe. Die Malware lädt beispielsweise gestohlene Dateien auf einen Cloud-Server in einem Rhythmus hoch, den ein menschlicher Nutzer einhalten würde.
Darüber hinaus führe das Schadprogramm ganz normale Aufgaben aus. Davon sei eine, Twitter aufzurufen. Auf dem Kurznachrichtendienst suche es bestimmte Nutzerkonten. Diese schreiben scheinbar normale Tweets, enthalten aber Befehle. Auch auf den ersten Blick normale Bilder lade es von GitHub herunter. In diesen seien aber mittels Steganografie weitere Instruktionen versteckt – zum Beispiel die Adresse des Cloud-Servers, auf dem gestohlene Informationen zu deponieren seien. Somit könne der Export beginnen.