Deux mois après l’attaque contre la chaîne de télévision TV5 Monde, l’enquête s’oriente désormais vers un groupe de hackers russes, selon un source judiciaire. A ce stade de l’enquête, les investigations conduisent vers un groupe de hackers russes nommé APT28, désigné parfois Pawn Storm ou encore Sofacy group. Les enquêteurs en sont arrivés à cette conclusion après avoir remonté les adresses IP des ordinateurs d’où sont parties les attaques.

Selon un rapport publié, en 2014, par la société américaine de cyber-sécurité FireEye, APT28 est « un groupe aguerri de développeurs et d’opérateurs qui collectent des données relatives aux problématiques de défense et de géopolitique, des données qui ne pourraient être mises à profit que par un gouvernement ».

Ce piratage avait été mené par des inconnus se réclamant de l’organisation État islamique et des messages de propagande djihadiste avaient été diffusés sur le site de la chaîne, sur ses comptes Facebook et Twitter. A ce stade de l’enquête, la piste terroriste a été abandonnée.

Cette cyber-attaque a causé l’arrêt des programmes de la chaîne durant plus de vingt heures. Les sites ainsi que les réseaux sociaux, étaient totalement sous le contrôle des hackers.