Indiciile cel mai des folosite de cercetători pentru a sugera sursa atacurilor, împreună cu ilustrarea modului în care anumite grupuri de atacatori le-au folosit, includ indicii temporale. Fișierele malware includ o marcă temporală care indică momentul în care au fost realizate. Dacă sunt strânse suficiente mostre, se pot determina orele în care dezvoltatorii au lucrat la ele, ceea ce indică un anumit interval de timp în care și-au desfășurat operațiunile. Astfel de marcaje sunt însă foarte ușor de modificat.
Indicii de limbaj: fișierele malware includ, adesea, indicii despre autorii din spatele codului. Cel mai evident este acela privind limba sau limbile vorbite și nivelul de cunoaștere a acestora. Alte elemente pot dezvălui, de asemenea, un nume de utilizator, precum și convențiile interne de a denumi proiecte sau campanii. În plus, documentele phishing pot conține metadate care pot salva, involuntar, informații care să ducă la computerul real al unui autor.
