Geld und Daten stehlen für sanktionierte Regierungen
Nordkorea, das seit Jahren unter Wirtschaftssanktionen steht, hat zum Beispiel in der Vergangenheit Cyberoperationen durchgeführt, um ihre Finanzen aufzubessern. ​​ Zwischen 2017 und 2023 stahlen nordkoreanische Hacker, darunter die Lazarus Group und Moonstone Sleet, Kryptowährungen im Wert von über 3 Milliarden Dollar. ​​Diese Gruppen zielen dabei auf hochwertige Sektoren ab, um sowohl Informationen zu sammeln als auch Geld zu verdienen. Auch der​​ Iran hat sich auf finanziell motivierte Angriffe verlegt, wobei Gruppen wie Cotton Sandstorm Datendiebstahl und Erpressung betreiben. ​​
Russland intensiviert ebenfalls seine Zusammenarbeit mit Cyberkriminellen und lagert Cyberspionageoperationen an Gruppen wie Storm-2049 und Storm-0593 aus. ​​Diese Gruppen verwenden handelsübliche Malware und Tools wie Cobalt Strike, um die Ziele der russischen Regierung zu unterstützen. Zu Russlands Operationen unter falscher Flagge gehören der Ransomware-Angriff NotPetya und die Malware Olympic Destroyer. Letzte zielte darauf ab, Ermittler in die Irre zu führen, indem sie andere staatliche Akteure imitierte. ​
KRITIS und öffentliche sind ebenfalls begehrte Ziele
Ein weiterer staatlicher Akteur ist die chinesische APT41, auch bekannt als Winnti, welche eine lange Geschichte von Cyberspionage und finanziell motivierten Angriffen hat. Häufiges Ziel ist hierbei die Online-Gaming-Branche.​​ Diese Gruppe operiert unter dem Deckmantel einer Scheinfirma und richtet ihre Aktivitäten auf Chinas geopolitische Interessen aus. ​​