Agência Nacional francesa de Segurança dos Sistemas de Informação diz que o ‘modus operandi’ Sandworm é conhecido por organizar grandes campanhas e escolher vítimas entre as mais estratégicas. Intrusões observadas são compatíveis com este comportamento.