28 Mayıs'ta ABD Adalet Bakanlığı, Rus özel örgütüyle bağlantılı iki bilgisayar korsanının tutuklanmasına izin verdi. SolarWinds. İkili, büyük bir kampanya başlattıkları iki internet alanının kontrolünü ele geçirdi. pishing. Büyük ölçekli siber saldırı 25 Mayıs'ta tespit edildi, Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı (USAID) hesabından 3.000 e-posta gönderildi. Constant Contact adlı bir pazarlama şirketinin hizmetleriyle ilişkili ele geçirilen hesap, dünya çapında çoğu Amerikalı 150'den fazla kuruluşun çalışanlarına kimlik avı e-postaları göndermek için kullanıldı.
Kimlik avı e-postalarında resmi bir USAID logosu bulunuyordu, bunun altında iddia edilen bir "USAID özel bildirimi"Hak sahibi"Donald Trump, seçim sahtekarlığıyla ilgili yeni belgeler yayınladı". Bağlantı daha sonra kullanıcıları iki yasadışı alt alan adından birine yönlendirdi ve böylece kurbanların makinelerine özel bir virüs bulaştırdı. kötü amaçlı yazılım hangi sırayla yarattı arka kapı bu, bilgisayar korsanlarının güvenliği ihlal edilmiş bilgisayarların tüm içeriğini ele geçirmesine izin verdi.
Microsoft Corporation'a göre, kimlik avı saldırısının arkasındaki bilgisayar korsanları, 2020'deki kötü şöhretli bilgisayar korsanı saldırısını düzenleyen SolarWinds ile aynı gruptandı. Terim, Amerika Birleşik Devletleri federal hükümetine ve Avrupa Birliği ve NATO gibi kuruluşlara ait bilgisayar sistemlerinin geniş çaplı ihlalini ifade eder. Bu saldırının ana aktörü, siber güvenlik uzmanları tarafından APT29 veya Nobelium olarak adlandırıldı.