Các nhà nghiên cứu Ý từ CSE Cybsec đã phát hiện ra một cửa hậu trên các mạng của Ý, một 'cửa sau', được sử dụng để vượt qua sự phòng thủ của các hệ thống máy tính. Cổng đã được công nhận là một biến thể của cửa hậu X-Agent nổi tiếng. Được sử dụng để nhắm mục tiêu các hệ thống Windows, cửa hậu là một phần của kho vũ khí của một nhóm bán quân sự của Nga, được biết đến với tên viết tắt APT28. Đó là một mức độ nghiêm trọng cho phép một lượng lớn dữ liệu và thông tin được lấy từ các máy tính bị xâm nhập và gửi đến một trung tâm chỉ huy và kiểm soát đặt tại Châu Á. APT28 (từ viết tắt của Advanced Persently Threath số 28), lấy tên từ kỹ thuật được sử dụng.
Nó là một mối đe dọa dai dẳng nâng cao và là một loại mối đe dọa mạng từng được cài đặt trong các máy chủ và hệ thống vẫn ở đó để thực hiện nhiệm vụ giám sát và truy xuất dữ liệu, cho các mục đích gián điệp. Nhóm này đã hoạt động từ năm 2007 và nhắm mục tiêu vào các chính phủ, quân đội và các tổ chức an ninh.
APT28 là một trong những nhóm hack nổi tiếng nhất trên thế giới vì đã tham gia vào vụ đánh cắp email của Hillary Clinton, khiến FBI của James Comey phải điều tra ngay trước cuộc bầu cử tổng thống Mỹ khi Donald Trump thắng cử.
Nhóm được tổ chức và tài trợ tốt còn được biết đến với các tên khác như Sofacy, Fancy Bear, Pawn Storm, Sednit. Các chuyên gia đã phát hiện một phần mềm độc hại khác liên hệ với máy chủ điều khiển và chỉ huy có tên "marina-info.net". Theo các nhà nghiên cứu, phần mềm độc hại này sẽ là một phần của cuộc tấn công phẫu thuật được phối hợp nhịp nhàng bởi APT28 mà Z-Lab gọi là "Chiến dịch kỳ nghỉ La Mã". Cả hai phần mềm độc hại cũng đã được báo cáo với các nhà chức trách trong một báo cáo kèm theo cái gọi là "quy tắc Yara", để tạo điều kiện phát hiện chúng.