Korábban ismeretlen fenyegetési csoportot (SandCat) azonosított a Kaspersky, amelyről feltételezik, hogy az üzbég hírszerzéshez (SSS) tartozik. A felfedezés nem csak amiatt érdekes, hogy ez az első eset, hogy az országhoz nagy volumenű kiberművelet köthető, hanem a csoport által elkövetett súlyos műveleti biztonsági (OPSEC) mulasztások miatt is. A SandCat ugyanis többek közt olyan jelentős hibákat is vétett, mint, hogy egy domain név regisztrációjakor egy SSS-hez köthető katonai csoport nevét használta, vagy, hogy a malware fejlesztésre használt gépen a Kaspersky vírusirtót futtatták. Utóbbi ugyanis azt eredményezte, hogy az orosz biztonsági cég hozzáfért a káros kódokhoz, valamint egyéb információkhoz, például a műveleteik során felhasznált négy nulladik-napi sebezhetőséghez, amit harmadik féltől ─ vélhetően két izraeli kémszoftver gyártótól, az NSO Group-tól, valamint a Candiru-tól ─ vásároltak. A Kaspersky ezen információk birtokában ráadásul további, Szaúd-Arábiában és az Egyesült Arab Emirátusok területén működő más kormányzati hátterű csoportokat is képes volt nyomon követni, valamint ─ a sérülékenységek nyilvánosságra hozásával ─ egyes műveleteiket ellehetetleníteni.