28. mail andis USA justiitsministeerium loa arreteerida kaks Venemaa eraorganisatsiooniga seotud häkkerit SolarWinds. Mõlemad haarasid kontrolli kahe Interneti-domeeni üle, millest nad alustasid ulatuslikku kampaaniat pishing. Suuremahuline küberrünnak avastati 25. mail, Ameerika Ühendriikide Rahvusvahelise Arengu Agentuuri (USAID) kontolt saadeti 3.000 meili. Rikutud kontot, mis on seotud turundusettevõtte Constant Contact teenustega, kasutati andmepüügimeilide saatmiseks rohkem kui 150 organisatsiooni töötajatele üle kogu maailma, enamik neist olid ameeriklased.
Andmepüügimeilidel oli ametlik USAID logo, mille all oli link väidetavale "USAID eriteade"Õigustatud"Donald Trump avaldas uued valimispettuste teemalised dokumendid". Seejärel suunas link kasutajad ühte kahest ebaseaduslikust alamdomeenist, nakatades seeläbi ohvrite masinaid spetsiaalsega malware mis omakorda lõi a tagauks mis võimaldas häkkeritel kätte saada kogu rikutud arvutite sisu.
Microsofti korporatsiooni andmetel olid andmepüügirünnaku taga olevad häkkerid samast grupist, mis korraldas 2020. aastal kurikuulsa häkkerirünnaku, SolarWindsi. See termin viitab USA föderaalvalitsusele ja sellistele organisatsioonidele nagu Euroopa Liit ja NATO kuuluvate arvutisüsteemide ulatuslikule rikkumisele. Küberjulgeoleku eksperdid nimetasid selle rünnaku peaosatäitjat APT29 või Nobeliumiks.