Volgens Bayer was de aanval het werk van de goed georganiseerde hackersgroep Winnti. Die zou banden hebben met de Chinese autoriteiten, hoewel daders bij cyberspionage altijd moeilijk aan te wijzen zijn.

De aanvallers zouden gebruik hebben gemaakt van een schadelijke software, waarmee ze van afstand konden binnendringen in computersystemen. Daarna zouden ze min of meer vrij spel hebben gehad. De schadelijke software werd volgens Bayer begin vorig jaar ontdekt en daarna maandenlang in de gaten gehouden. Eind maart zou de software zijn verwijderd. Hoelang de software al aanwezig was voor de ontdekking, is niet bekend.

In 2016 was technologiebedrijf ThyssenKrupp doelwit van een vergelijkbare aanval. Volgens Duitse media zijn ook drie andere Duitse bedrijven getroffen door Winnti.