El 28 de mayo, el Departamento de Justicia de Estados Unidos autorizó el arresto de dos piratas informáticos vinculados a la organización privada rusa. Vientos solares. Los dos tomaron el control de dos dominios de Internet desde los que iniciaron una campaña masiva de pishing. El ciberataque a gran escala se detectó el 25 de mayo, se enviaron 3.000 correos electrónicos desde una cuenta de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). La cuenta comprometida, asociada con los servicios de una empresa de marketing llamada Constant Contact, se utilizó para enviar correos electrónicos de phishing a empleados de más de 150 organizaciones en todo el mundo, la mayoría de ellos estadounidenses.
Los correos electrónicos de phishing presentaban un logotipo oficial de USAID, bajo el cual un enlace a un supuesto "Aviso especial de USAID"Intitulado"Donald Trump ha publicado nuevos documentos sobre fraude electoral". A continuación, el enlace dirigía a los usuarios a uno de los dos subdominios ilícitos, infectando así las máquinas de las víctimas con un especial el malware que a su vez creó un puerta trasera lo que permitió a los piratas informáticos hacerse con todo el contenido de las computadoras comprometidas.
Según Microsoft Corporation, los piratas informáticos detrás del ataque de phishing eran del mismo grupo que orquestó el infame ataque de piratas informáticos en 2020, SolarWinds. El término se refiere a una violación a gran escala de los sistemas informáticos pertenecientes al gobierno federal de los Estados Unidos y a organizaciones como la Unión Europea y la OTAN. Los expertos en ciberseguridad se refirieron al actor principal de ese ataque como APT29 o Nobelium.