Selon Bayer, l'attaque aurait été l'oeuvre du groupe de hackers bien organisé Winnti. Ce dernier aurait des liens avec les autorités chinoises, même s'il est toujours malaisé de connaître les tenants et aboutissants d'auteurs d'actes de cyber-espionnage.

Les agresseurs auraient exploité un maliciel avec lequel ils ont réussi à pénétrer à distance dans les systèmes informatiques de l'entreprise, après quoi la voie leur était plus ou moins libre. Selon Bayer, le malware avait été découvert début de l'année dernière, puis surveillé des mois durant. C'est fin mars qu'il aurait été supprimé. On ne sait cependant pas depuis combien de temps déjà il sévissait, avant d'être découvert.

En 2016, la firme technologique ThyssenKrupp avait elle aussi été la cible d'une attaque similaire. Selon des médias allemands, trois autres entreprises auraient également été touchées par Winnti.