חוקרי חברת סנטינל וואן חשפו קבוצת ATP לא מוכרת בשם Metador, שפעלה כנגד חברות תקשורת, ספקי אינטרנט ואוניברסיטאות במזרח התיכון ובאפריקה. מקור הקבוצה עדיין לא ידוע. חוקרי החברה חשפו את הפעילות בכנס אבטחת המידע ומודיעין סייבר LABScon, שאותו קיימה החברה בפעם הראשונה בחודש ספטמבר 2022, ובמהלכו התארחו והציגו חוקרי אבטחה ומודיעין מובילים מרחבי התעשייה.

מכיוון שהחוקרים נחשפו לפעילות של התוקפים רק בשלב מאוחר יחסית, לא ניתן היה לקבוע את וקטור החדירה הראשוני לארגון. על אף מאמצים רבים שנעשו, בשיתוף עם גורמי מחקר וגופי אכיפת חוק בעולם, לא ניתן כרגע לקבוע בוודאות את מקור הקבוצה. נבירה בקוד העלתה שמות ומונחים שקשורים לעולם התרבותי ההיספאני ולהקת פופ בריטית משנות ה-80, וניתוח זמני הפעולה של כותבי הקוד מראה על פעילות באזור זמן של GMT +1 (מרכז אירופה). על אף שמקובל להניח שפעילות מתוחכמת כזו מבוצעת על ידי תוקפים מדינתיים, יש אינדיקציות לכך שלפחות חלק מהתשתית נוצר בידי קבלני משנה אזרחיים.

הפעילות של הקבוצה כללה שימוש בתשתיות חדשות במקום מחזור תשתיות תקיפה קיימות, שימוש בכתובת פר קורבן, עדות לכך שהמפעילים של הקמפיין בקיאים מאוד בתורת ההגנה ובתפעול מערכות הגנה מודרניות, שעשו כל שביכולתם לחדור למטרה בעלת ערך ולהישאר פעילים בה, באופן חשאי, למשך זמן ארוך ככל הניתן. ניתן להסיק מכך שמטרת התוקפים הייתה איסוף מידע מודיעיני ערכי.