파이어아이는 트리톤 설치를 위한 침입활동을 지원한 곳이 모스크바에 위치한 러시아 정부 소유의 중앙화학역학과학연구소(Central Scientific Research Institute of Chemistry and Mechanics, 이하 CNIIHM)일 가능성이 높다고 판단했다. 이런 판단에 대한 근거는 템프밸런스의 활동에서 트리톤 침입 때 사용된 일부 악성 SW 버전을 발견했으며, 템프벨레스의 활동에서 관찰된 행동 패턴은 CNIIHM이 위치한 모스크바의 시간대와 일치 등이다.

또 CNIIHM에 등록된 IP주소가 트리톤의 오픈소스 탐지, 네트워크 정찰, 트리톤 침입을 위한 악성 활동 등 템프벨레스의 다양한 목적 달성을 위해 사용됐다는 점은 CNIIHM과 탬프벨레스의 연관성을 의심할 수 있는 부분이다.

파이어아이는 템프벨레스의 활동을 조사하는 동안 이들이 공격대상의 환경에 설치한 다수의 고유한 툴을 발견했다. 해시(hash)로 일부 동일한 툴을 확인했으며, 이들은 한 유저가 악성코드 테스트 환경에서 시험한 바 있다. 또한, CNIIHM과 연결된 테스트 활동, 악성코드 아티팩트, 악의적인 행위가 있는 가능성도 있을 것으로 추정했다.

파이어아이는 “CNIIHM의 직원이 상사의 허가 없이 템프벨레스의 활동을 추진했을 가능성도 배제할 수 없으나, 조사에 따르면 이러한 경우는 템프벨레스가 연구소의 후원으로 활동했을 타당성보다는 낮다”고 말했다.