Prvi istraživački projekat takve vrste ističe vezu između blizu 2.000 primera ruskih zlonamernih programa koji potpadaju pod klasu naprednih upornih pretnji ( APT).
Hakerske grupe koje finansira ruska vlada veoma retko međusobno dele kodove, ali ako se to desi, kodove obično dele grupe koje su unutar iste obaveštajne službe, tvrdi zajednički izveštaj koji je danas objavljen. Izveštaj o kome govorimo sastavile su zajedno kompanije Check Point i Intezer Labs i predstavlja prvi takav izveštaj u toj oblasti. Dve kompanije su pregledale preko 2.000 uzoraka zlonamernih programa koji su prethodno bili povezani sa ruskim hakerskih grupama koje finansira ruska vlada da bi dobile uvid u to kako se ti uzorci zlonamernih programa odnose jedni prema drugima.
Njihova istraga je pronašla 22.000 veza i 3,85 miliona delova koda koji su podeljeni između nizova zlonamernih programa. Zaključak tog obimnog istraživačkog truda je otkriće da ruske napredne uporne pretnje (engl. advanced persistent threat), termin koji se koristi za hakerske grupe koje podržava vlada, uglavnom međusobno ne dele kodove.
Štaviše, kad se to i dogodi u retkim slučajevima, ponovna upotreba koda odvija se samo unutar iste obaveštajne službe, što pokazuje da tri glavne ruske agencije, koje su zadužene za operacije međunarodne sajber-špijunaže, ne sarađuju u svojim kampanjama. Rezultati do kojih je došlo istraživanje samo potvrđuju ono do čega su došli istraživački novinari i izveštaji inostranih obaveštajnih službi. Prethodni izveštaji su utvrdili da celu rusku sajber-špijunažu obavljaju tri obaveštajne agencije: Savezna bezbednosna služba, Inostrana obaveštajna služba i Glavni obaveštajni direktorat za rusku vojsku, i da one međusobno uopšte ne sarađuju.
Ruska vlada podstiče svojevrsno takmičenje te tri agencije, koje funkcionišu međusobno nezavisno i nadmeću se za finansijska sredstva. To je, s druge strane, dovelo do toga da svaka grupa razvija i prikuplja svoje alate, umesto da ih podeli sa drugim agencijama, što je sasvim uobičajeno kod hakerskih grupa u Kini i Severnoj Koreji koje finansira država. Svaki učesnik или organizacija pod okriljem ruske napredne uporne pretnje ima svoj tim koji je posvećen razvoju zlonamernih programa i radi paralelno na sličnim zlonamernim programima i okvirima kao i ostali.
Iako svaki haker ponovo koristi svoj kod u različitim operacijama i između različitih porodica zlonamernih programa, ne postoji nijedna alatka niti bilo koji drugi element koji se deli između različitih hakera. Autori izveštaja kažu da su na osnovu dobijenih rezultata zaključili da sajber-špijunski aparat ulaže mnogo u svoju operativnu bezbednost. Samim tim što izbegavaju da različite organizacije ponovo koriste isti sadržaj za različite mete, oni prevazilaze rizik da će jedan otkrivena i uništena operacija izložiti opasnosti ostale aktivne operacije.
Takvo obimno istraživanje, koje je mapiralo veze unutar celog ekosistema, nikad do sad nije sprovedeno. Istraživači se nisu bavili prirodom svakog koda jer su razmatrali hiljade uzoraka, ali svaki očigledni klaster koji su mapirali ukazao im je na to da svaka organizacija radi za sebe, bar što se tiče tehničkog aspekta. Neki klasteri predstavljaju evoluciju familije zlonamernih softvera tokom godina. Istraživački tim je pokrenuo sajt na kome je prikazao interaktivnu mapu na kojoj su istaknute veze između uzoraka zlonamernih programa ruskih naprednih upornih pretnji koje su analizirali.