美国政府猜测黑客组织Cozy Bear是事件的幕后黑手，并怀疑这个组织与俄罗斯的对外情报局（SVR）有合作。

因为该黑客组织选择操纵跟微软云交互的企业软件而不是直接追踪Microsoft Azure或Office产品的攻击方式，与SolarWinds（著名的IT管理软件和远程监控工具）在2020年遭遇的黑客攻击事件有些相似，那次事件中被攻击的对象包括美国的IT公司、政府机构、关键基础设施等。

Cozy Bear，也被称为Nobelium、APT29、The Dukes，是俄罗斯的一个黑客组织，因SolarWinds供应链攻击事件名声在外，被认为是多起对美国的网络攻击的幕后策划者，包括Microsoft、FireEye等公司以及美国的政府机构，都曾遭到过该组织的网络攻击。 

2016年，在特朗普赢得美国总统大选几个小时后，该组织对美国智库发起了鱼叉式网络钓鱼攻击，随后发送了一系列针对美国从事国家安全、国际事务、国防、公共政策的非政府组织和政府相关机构的钓鱼邮件。

2018年，荷兰情报部门AIVD声称通过侵入Cozy Bear总部的监控摄像头，获取到相关照片信息，推断Cozy Bear组织由俄罗斯的对外情报局SVR领导，并与对美国的网络攻击事件有紧密联系。

2020年，英国、美国和加拿大政府指控俄罗斯国家情报机关领导的Cozy Bear以黑客方式入侵国际制药和学术研究机构，以期赢得Covid-19疫苗的研制竞赛。

针对上述指控，俄罗斯方面予以否认。