Среди изданий, которые упоминались в фальсифицированных «доказательствах» связи журналистов с Госдепом, были только независимые российские СМИ — РБК, «Ведомости», «Дождь» и Republic (тогда — Slon). Эти издания публиковали расследования об окружении и семье президента Владимира Путина, квартире вице-премьера Игоря Шувалова (блог Навального), даче премьер-министра Дмитрия Медведева (ФБК), финансировании проектов, связанных с Путиным (Republic), новости о кооперативе «Озеро» (Rebublic), расследования о недвижимости губернатора Тульской области («Дождь»), статьи о предполагаемых бизнес-связях губернатора Подмосковья Андрея Воробьева («Ведомости»).
Как отмечает Republic, подмена файлов Сэттера, которые должны были стать доказательствами существования работы некоторых высокопоставленных российских чиновников и СМИ с Госдепом, произошла в октябре 2016 года. Тогда же в государственных российских изданиях появились публикации о том, что США «готовят цветную революцию по примеру Украины» — с похожими названиями вышли публикации в «Российской газете», РЕН ТВ, «РИА Новости», RT и «Царьград-ТВ». Как отмечалось в публикациях, через Сэттера в Россию попадала информация с американским «госзаказом».
Исследователи Citizen Lab выяснили, что хакеры взломали файлы Сэттера с помощью фишинг-сообщения в электронной почте, которое пришло с адреса g.mail2017@yandex.com, при этом IP-адрес находился в Румынии.
Отмечаеься, что Сэттер был не единственным пострадавшим от кибератак — их жертвами стали около 200 человек из 39 государств и международных организаций, среди которых НАТО, ООН, Латвия, Черногория, Украина, Армения, Узбекистан и другие.