28 мая Министерство юстиции США санкционировало арест двух хакеров, связанных с российской частной организацией. SolarWinds. Эти двое взяли под свой контроль два интернет-домена, с которых начали массовую кампанию pishing. Масштабная кибератака была обнаружена 25 мая, 3.000 писем было отправлено с аккаунта Агентства США по международному развитию (USAID). Скомпрометированная учетная запись, связанная с услугами маркетинговой компании Constant Contact, использовалась для отправки фишинговых писем сотрудникам более 150 организаций по всему миру, большинство из которых являются американскими.
В фишинговых письмах был размещен официальный логотип USAID, под которым была ссылка на предполагаемый "Специальное уведомление USAID"Под названием"Дональд Трамп опубликовал новые документы о фальсификациях на выборах". Затем ссылка направляла пользователей на один из двух незаконных поддоменов, тем самым заражая машины жертв специальным вредоносных программ что, в свою очередь, создало задняя дверь что позволило хакерам получить доступ ко всему содержимому взломанных компьютеров.
По данным Microsoft Corporation, хакеры, стоящие за фишинг-атакой, были из той же группы, которая организовала печально известную хакерскую атаку в 2020 году, SolarWinds. Этот термин относится к крупномасштабному взлому компьютерных систем, принадлежащих федеральному правительству США и таким организациям, как Европейский Союз и НАТО. Основное лицо этой атаки было названо экспертами по кибербезопасности APT29 или Nobelium.