Pakar Check Point mengatakan ada kemungkinan bahwa koordinat telah ditanam di aplikasi sebagai bendera palsu oleh seseorang yang mencoba melibatkan negara Mesir. Tetapi penjelasan yang lebih mungkin, kata mereka, adalah bahwa koordinat telah sengaja ditinggalkan di server karena kecerobohan oleh orang-orang yang menjalankan operasi.
Seorang pejabat Check Point mengatakan bahwa petunjuk lain juga menunjukkan keterlibatan negara dalam serangan itu. Durasi multiyear kampanye, serta sejumlah besar data yang dikumpulkan, membutuhkan sumber daya keuangan dan manusia yang signifikan. Dan target serangan, yang tampaknya telah dipilih karena aktivitas atau pandangan politik mereka, tidak selaras dengan motif kejahatan siber konvensional, yang cenderung berfokus pada motif memperoleh uang.
Selain itu, kata Kayal, penyelidikan menunjukkan bahwa para pelaku adalah penutur bahasa Arab dan waktu default yang digunakan dalam aplikasi adalah waktu Mesir.
Dua dari korban yang diidentifikasi oleh Check Point ditangkap setelah protes yang tersebar meletus terhadap presiden Mesir, Abdel Fattah el-Sisi, pada bulan lalu. Keduanya adalah Hassan Nafaa, seorang ilmuwan politik di Universitas Kairo, dan Khaled Dawoud, mantan jurnalis dan pemimpin Konstitusi sekuler Partai, kritikus Presiden El-Sisi yang menonjol.
Korban ketiga, Dr. Shady Al-Ghazaly Harb, seorang ahli bedah dan aktivis oposisi, ditahan pada Mei 2018 karena kritiknya terhadap pemerintah di Twitter. Dia saat ini berada di sel isolasi di sebuah penjara di Kairo di mana dia menghadapi tuduhan menghina presiden dan menyebarkan berita palsu.
Penyelidikan Check Point dimulai setelah Amnesty International melaporkan pada bulan Maret bahwa sejumlah aktivis hak-hak sipil Mesir adalah target kampanye phishing yang disponsori negara dalam upaya untuk mendapatkan kata sandi email korban. Amnesty menyimpulkan bahwa serangan siber itu "kemungkinan besar" dilakukan oleh atau atas nama otoritas Mesir.