由俄罗斯军方指使的骇客组织Sandworm近期动作频频，有研究人员发现，这些骇客打著其他组织的名号，企图埋藏其攻击行动。

资安业者Mandiant发现，这些骇客经营至少3个Telegram频道，并自称是XakNet Team、Cyber​​ Army of Russia Reborn（CARR）、Solntsepek来从事攻击行动，其中CARR与Sandworm的关系似乎最为密切，而且他们的YouTube频道是透过Sandworm的基础设施设置。

研究人员也在CARR的频道上，看到骇客透过Sandworm的基础设施泄露受害组织资料，研判CARR相关攻击行动背后是俄罗斯联邦军队总参谋部情报总局（GRU）指使。

值得留意的是，虽然CARR在Telegram频道宣称大部分的目标是乌克兰实体，但研究人员发现，这些骇客也承认对美国及波兰的供水设施，以及法国水力发电系统发动攻击，并公布影片与萤幕截图，证明他们已控制受害环境的操作科技（OT）资产。

研究人员无法逐一确认对方声称的攻击行动，但受到影响的美国公营事业公司证实他们遭到CARR攻击。

此外，研究人员指出，Sandworm的攻击态势升温，并将该组织命名为APT44。他们认为这些骇客随著乌克兰战争持续进行，目标已经从原本针对乌克兰实体从事资料破坏软体（Wiper）攻击，转向网路间谍及产生对国内影响力为目标。