Siatkę cyberprzestępców rozpracowała Prokuratura Regionalna w Warszawie, Centralne Biuro Śledcze Policji oraz funkcjonariusze specjalizujący się w walce z cyberprzestępczością z komend w Gorzowie i Łodzi. Kulisy działania grupy ujawnia "Rzeczpospolita".
W sprawie zarzuty usłyszało dziewięć osób, z czego cztery wciąż są w areszcie. Są to osoby, które najbardziej aktywnie działały w dark webie, utrzymywały kontakty z cyberprzestępcami z Rosji i Korei Północnej oraz posiadały złośliwe oprogramowania. Aby rozbić gang polscy śledczy współpracowali z NASK, CERT Polska, AP Cyborg czy AP Sustrans Europolu.
Zgodnie z ustaleniami najwięcej pieniędzy zarobili na stworzeniu około 50 fałszywych sklepów internetowych - z elektroniką, AGD itp. Dodatkowo zarejestrowali 87 domen, z czego część wykorzystywana była do dystrybucji złośliwego oprogramowania. Zainfekowały one komputery i telefony z systemem Android u co najmniej tysiąca osób w Polsce.
Cyberprzestępcy włamywali się także na konta bankowe, zdobywali dane i wyrabiali fałszywe dowody osobiste, które pozwalały im wyrobić duplikaty karty SIM. Dzięki temu dostawali dostęp do kodów potwierdzających przelewy wysyłanych przez banki przez SMS. Jednym z poszkodowanych w ten sposób został Piotr C., który stracił 243 tys. złotych.
Sprawcy podszywali się pod Krajową Administrację Skarbową, ZUS, a nawet policję. Wykorzystali nawet dane szefa wydziału do walki z cyberprzestępczością Komendy Stołecznej Policji. Podszywali się też pod aplikacje znanych firm np. InPost, DHL czy Cybertarczę Orange. Gang wywołał też fałszywe alarmy bombowe w szkole w Łęczycy i 1066 przedszkolach w 2019 roku, by zemścić się na byłym wspólniku i jego żonie.