Nach Angaben von Die Linke stammt die Information zur Urheberschaft des Angriffs von dritter Seite: Demnach steckt die Ransomware-Gruppe Qilin hinter dem Vorfall. Die Partei beschreibt die Gruppe als russischsprachige Cyberkriminelle, die sowohl finanziell als auch politisch motiviert seien. Der Angriff auf die eigenen Systeme erscheine „in diesem Zusammenhang nicht zufällig".

Die Partei ordnete den Vorfall politisch ein: Solche digitalen Angriffe und insbesondere der Einsatz von Ransomware seien häufig Teil hybrider Kriegsführung und stellten einen Angriff auf kritische Infrastruktur dar.

Am 1. April bekannte sich Qilin öffentlich zu der Tat und führte Die Linke auf der Liste der Opfer auf der eigenen Leak-Seite auf, ohne jedoch Datenproben zu veröffentlichen. Die Drohung mit der Veröffentlichung gestohlener Daten ist ein übliches Druckmittel, um Opfer zur Zahlung eines Lösegelds zu bewegen.

Die Linke hat die deutschen Behörden benachrichtigt und Strafanzeige bei der Polizei gestellt. Zudem arbeitet die Partei mit unabhängigen IT-Fachleuten zusammen, um die betroffenen Systeme sicher wiederherzustellen.

Angriffe russischer Akteure auf politische Parteien in Deutschland sind nicht neu. Laut Mandiant deckte das Unternehmen 2024 eine Kampagne der Gruppe APT29 auf, die sich mit einer Backdoor namens WineLoader gegen die CDU richtete.