في 28 مايو ، أذنت وزارة العدل الأمريكية بالقبض على اثنين من المتسللين المرتبطين بالمنظمة الروسية الخاصة سولارويندز. سيطر الاثنان على مجالين للإنترنت بدأوا من خلاله حملة ضخمة pishing. تم الكشف عن الهجوم السيبراني الواسع النطاق في 25 مايو ، وتم إرسال 3.000 رسالة بريد إلكتروني من حساب الوكالة الأمريكية للتنمية الدولية (USAID). تم استخدام الحساب المخترق ، المرتبط بخدمات شركة تسويق تسمى Constant Contact ، لإرسال رسائل بريد إلكتروني تصيدية إلى موظفين في أكثر من 150 مؤسسة حول العالم ، معظمهم أمريكيون.
تضمنت رسائل البريد الإلكتروني المخادعة شعارًا رسميًا للوكالة الأمريكية للتنمية الدولية ، والذي تحته رابط إلى مزعوم "إشعار خاص من الوكالة الأمريكية للتنمية الدولية"مخول"أصدر دونالد ترامب أوراقًا جديدة حول تزوير الانتخابات". ثم وجه الرابط المستخدمين إلى أحد النطاقين الفرعيين غير الشرعيين ، مما أدى إلى إصابة أجهزة الضحايا بنطاق خاص البرمجيات الخبيثة والذي أدى بدوره إلى إنشاء ملف الباب الخلفي مما سمح للقراصنة بالحصول على جميع محتويات أجهزة الكمبيوتر المخترقة.
وفقًا لشركة Microsoft Corporation ، كان المتسللون الذين يقفون وراء هجوم التصيد الاحتيالي من نفس المجموعة التي دبرت هجوم القراصنة سيئ السمعة في عام 2020 ، وهي SolarWinds. يشير المصطلح إلى خرق واسع النطاق لأنظمة الكمبيوتر التابعة للحكومة الفيدرالية للولايات المتحدة ومنظمات مثل الاتحاد الأوروبي وحلف شمال الأطلسي. أشار خبراء الأمن السيبراني إلى الفاعل الرئيسي في هذا الهجوم باسم APT29 أو Nobelium.