Śledztwo wykazało, że cyberprzestępcy używali złośliwego oprogramowania typu Malware. Od jesieni 2014 r. do lipca 2015 r. wysyłali wiadomości e-mail z załącznikami w postaci faktur oraz oficjalnych pism wzywających do uregulowania rzekomego zadłużenia. Odbiorca maila otwierał załącznik, a jednocześnie nieświadomie uruchamiał program szpiegujący przejmujący kontrolę nad jego komputerem. Umożliwiało to przełamanie informatycznych zabezpieczeń kont internetowych. Sprawcy uzyskiwali wówczas dostęp do haseł i danych osobowych właścicieli rachunków, a następnie kradli zgromadzone na nich środki zlecając przelewy na kontrolowane przez siebie konta bankowe.
Niekiedy infekowali system komputerowy programem typu „ClipBanker" , który w przypadku realizacji przelewów zawyżał kwoty i podmieniał numery docelowych rachunków bankowych powodując przesłanie pieniędzy na niewłaściwe, zależne od nich konta.
Przestępcy wykorzystywali przejęte konta bankowe także do składania wniosków o kredyty i pożyczki. Przyznane w trybie zdalnym pieniądze transferowali na giełdy umożliwiające handel kryptowalutami lub na rachunki bankowe założone przez tzw. słupy. Potem pieniądze były wypłacane w bankomatach.
Ustalono także, iż dwaj oskarżeni dokonali włamań do systemów informatycznych instytucji państwowych i pobierali z nich dokumenty w postaci elektronicznej, które następnie umieszczali w tzw. Darknecie na specjalnych stronach przeznaczonych do swoistych porównań umiejętności hakerskich. "Trofea" w postaci coraz to nowych dokumentów miały dowodzić, że przestępcy cały czas rozwijają swoje zdolności.
Ustalenia śledztwa pozwoliły na przedstawienie zarzutów dwóm głównym organizatorom procederu oraz osobie z nimi współpracującej. Usłyszeli oni zarzuty dotyczące kradzieży pieniędzy na szkodę 230 osób fizycznych oraz wyłudzenia środków z kredytów i pożyczek bankowych na łączną kwotę ponad 1 miliona 660 tysięcy złotych oraz prania pieniędzy.
