L’équipe de chercheurs d’ESET a découvert que plus de dix groupes ont tenté d'exploiter la vulnérabilité attribuée à Hafnium, l'entité liée à la Chine accusée d'avoir utilisé quatre failles 0-day (ou « failles non corrigées » selon la nouvelle terminologie numérique) pour pirater « au moins 100 000 » serveurs Microsoft Exchange dans le monde, dont 30 000 aux États-Unis. 

ESET relève au surplus qu’à l’exception d’un seul (DLTMiner, lié à une campagne de cryptominage bien connue), tous ces acteurs sont des groupes APT (pour Advanced Persistent Threat, ou menace persistante avancée, terme utilisé pour désigner un groupe, souvent gouvernemental, ayant les moyens et la technicité de cibler des entités à haute valeur ajoutée) versés dans l’espionnage. 

Mais également que cinq d'entre eux avaient eu accès aux détails des failles avant même la publication du correctif par Microsoft, et qu'ils pourraient donc être liés à Hafnium :

• Tick (également connu sous le nom de Bronze Butler), actif depuis 2008, cible d'ordinaire des organisations principalement basées au Japon, mais aussi en Corée du Sud, en Russie et à Singapour. Son principal objectif semble être le vol de propriété intellectuelle et d’informations classifiées.
• LuckyMouse (également connu sous le nom d’APT27 et d’Emissary Panda) est connu pour avoir violé de multiples réseaux gouvernementaux en Asie centrale et au Moyen-Orient, mais aussi des organisations transnationales telles que l’Organisation de l’aviation civile internationale (OACI) en 2016.
• Calypso (aussi associé à XPATH) cible les institutions gouvernementales en Asie centrale, au Moyen-Orient, en Amérique du Sud et en Asie.
• Winnti Group (également connu sous le nom de BARIUM ou APT41), actif depuis au moins 2012, est responsable d’attaques de chaîne d’approvisionnement très médiatisées contre les industries du jeu vidéo et du logiciel, conduisant à la distribution de logiciels « trojanisés » (tels que CCleaner, ASUS LiveUpdate et plusieurs jeux vidéo).
• Tonto Team, actif depuis au moins 2009, cible d’ordinaire des gouvernements et des institutions principalement basés en Russie, au Japon et en Mongolie.