Tölvuþrjótahópurinn Shadow Brokers eignaðist tölvuþrjótverkfæri árið 2017, sem leiddi til fjölda stórra atvika um allan heim, þar á meðal gríðarlegrar árásar með WannaCry lausnarhugbúnaðinum. Tilkynnt var um að hópurinn hefði stolið innbrotsverkfærum frá bandarísku þjóðaröryggisstofnuninni en óljóst var hvernig þeim tókst að gera þetta. Nú er komið í ljós að sérfræðingar Symantec hafa framkvæmt greiningu sem byggir á því að gera má ráð fyrir að innbrotsverkfærunum hafi verið stolið frá NSA af kínverskum leyniþjónustumönnum.
Symantec komst að þeirri niðurstöðu að Buckeye tölvuþrjótahópurinn, sem talinn er vinna fyrir kínverska ríkisöryggisráðuneytið, hafi notað NSA verkfæri ári áður en fyrsta Shadow Brokers atvikið átti sér stað. Sérfræðingar Symantec telja að Buckeye-hópurinn hafi komist yfir tölvuþrjótaverkfæri við árás NSA og eftir það hafi þeim verið breytt.
Í skýrslunni segir einnig að Buckeye tölvuþrjótar geti vel verið að verki þar sem embættismenn NSA hafa áður lýst því yfir að þessi hópur sé einn sá hættulegasti. Buckeye bar meðal annars ábyrgð á árásum á bandaríska geimtækniframleiðendur og sum orkufyrirtæki. Sérfræðingar Symantec segja að breytt verkfæri NSA hafi verið notuð til að gera árásir á rannsóknarstofnanir, menntastofnanir og aðra innviðaaðstöðu víðsvegar að úr heiminum.
Symantec telur að það sé kominn tími til að bandarískar leyniþjónustustofnanir íhugi alvarlega möguleikann á því að hægt sé að fanga tæki sem þróuð eru í Bandaríkjunum og beita þeim gegn bandaríska ríkinu. Einnig var tekið fram að Symantec gat ekki fundið neinar vísbendingar um að Buckeye tölvuþrjótar hafi notað verkfæri sem stolið var frá NSA til að ráðast á skotmörk staðsett í Bandaríkjunum.