A Potao kémprogram a testre szabott kártevők sorába tartozik, mint amilyen például a célzottan Ukrajnában, Grúziában és Fehéroroszországban kémkedő BlackEnergy (más néven Sandworm, Quedagh) is volt. A támadások a célpont alapos és tudatos kiválasztásánál, a támadás elnyújtott időtartama mellett a hosszú "lappangási" időszakban térnek el a hagyományos kibertámadásoktól. Az ilyen célzott akciók a klasszikus definíció szerint olyan folyamatos fenyegetést jelentenek, amelyek nagyon kifinomultak, még naprakész védelemmel is nehezen észlelhetőek, és a már korábban említett hosszú ideig tartó - ez akár években mérhető - aktív támadási folyamatot jelentenek. Az elmúlt években világos látható volt, hogy az ilyen célzott támadások egyre növekvő tendenciát mutatnak, és ezt a 2015-ös évre szóló kártevő jóslatok is határozottan körvonalazták.
Az elemzés alapján úgy tűnik, a Potao kártevő is az orosz Sandworm csoport alkotása lehet. Róluk azt lehet tudni, hogy a kiberkémkedés a specialitásuk, és eddig már számos nulladik napi sebezhetőséget kihasználó támadás mögött gyanítják őket. A 2013. óta működő bűnszervezet nem csak az ukrán konfliktus idején vett részt akciókban, de többek közt a NATO, a lengyel kormányzat, illetve nyugat-európai kormányzati hivatalok ellen is indított már támadást. Repertoárjukban emellett különféle energetikai vállalkozások, francia távközlési cégek, és egyéb amerikai vállalatok elleni célzott kémkedés is szerepel.
A kártevő minden felhasználói aktivitást képes volt kikémlelni, így a helyi gép beállításai (proxy, telepített szoftverek, nemrég megnyitott fájlok, stb.) mellett gyűjtötte a böngészési előzményeket, egy fájlkiterjesztési lista alapján a szöveges dokumentumokat is ellopta, a háttérben egy billentyűzet-naplózó figyelte a leütéseket, de a vágólap tartalmát, és a Skype beszélgetéseket is fürkészte. A fejlett kártevő a támadók távoli irányító szerverével (C&C) 2048 bites titkosított kommunikációt folytatott, hogy ezzel is nehezítse a leleplezést.
A kártevő esküvői meghívóként is ki volt küldve, 2014-ben pedig Krimi postai szolgáltatásokat ajánlottak benne a címzetteknek. Az ESET 2015 márciusában figyelt fel arra, hogy ukrán kormányzati és katonai szervezetek, valamint a legnagyobb ukrán hírügynökségek irányába indult el tömeges és intenzív támadási hullám. Ezekben már aztán a politikai vonal még intenzívebben jelen volt, így a csalárd mellékletek részleteket ígértek az ukrán hadifoglyokról, a szolgálatból felmentett magas rangú katonai vezetők listáját ajánlották fel, illetve az anti terrorista akciók során lefoglalt eszközökről ígértek információkat az üzenetek mellékletében. De a spam vonalon kívül az Autorun vírus módszerét is alkalmazták, tehát különféle külső USB eszközök segítségével is terjedt, sőt telefonos SMS üzenetben is küldtek ki kártékony link hivatkozásokat.
