Grupările de hacking BlackEnergy şi Sofacy sunt considerate doi dintre principalii actori din peisajul modern al ameninţărilor cibernetice. În trecut, activităţile lor au dus deseori la consecinţe grave, la nivel naţional. BlackEnergy a provocat unul dintre cele mai cunoscute atacuri cibernetice din istorie, atacând instalaţiile energetice ucrainene în 2015, ceea ce a dus la întreruperi în furnizarea curentului electric. Între timp, grupul Sofacy a declanşat atacuri împotriva organizaţiilor guvernamentale americane şi europene, precum şi împotriva agenţiilor de securitate naţională şi de informaţii. A existat şi anterior bănuiala privind o  legătură între cele două grupuri, dar nu s-a dovedit până acum, când succesorul lui BlackEnergy – GreyEnergy – a folosit malware pentru a ataca ţinte de infrastructură industrială şi critică, în special din Ucraina, existând puternice asemănări de structură cu BlackEnergy.

Departamentul ICS CERT al Kaspersky Lab, responsabil cu cercetarea şi eliminarea ameninţărilor pentru sistemele industriale, a găsit două servere găzduite în Ucraina şi Suedia, utilizate de ambele grupări, în acelaşi timp, în iunie 2018. GreyEnergy a folosit serverele în campania sa de phishing pentru a stoca un fişier periculos. Acest fişier a fost descărcat de utilizatori în momentul deschiderii unui document text ataşat la un e-mail de phishing. În acelaşi timp, Sofacy a folosit serverul ca centru de comandă şi control pentru propriul malware. Deoarece ambele grupuri au folosit serverele pentru un timp relativ scurt, o astfel de coincidenţă sugerează o infrastructură comună. Acest lucru a fost confirmat de faptul că ambii atacatori au vizat aceeaşi companie, la distanţă de o săptămână, cu e-mail-uri de phishing. În plus, ambele grupuri au folosit documente similare de tip phishing sub forma unor e-mail-uri de la Ministerul Energiei din Republica Kazahstan.