Преступная группа действовала с 2009 года и была создана человеком, известным в сети под псевдонимами Гермес и Араши. Используя вредоносную программу Hodprot, организатор создал многомиллионную банковскую бот-сеть, ставшую известной в хакерских кругах под названием Оригами. Она просуществовала до середины 2011 года, а затем переродилась в другую, более совершенную, построенную на вредоносной программе Carberp. Особенность данной версии программы — возможность похищать «Ваучеры» у иностранных пользователей социальной сети Facebook.
Злоумышленники первыми начали использовать вредоносную программу RDPdoor как вспомогательное средство для совершения хищений непосредственно с компьютера жертвы. Панель управления для нее Гермес разрабатывал сам.
Для работы с бот-сетью Гермес привлек большое количество людей, что стало похожим на реализацию некой «партнерской программы». Только штат программистов, работающих на организатора, насчитывал 9 человек, большинство из которых — жители Украины. За время существования преступной группы количество ее участников достигало 25 человек, не считая лиц, занимавшихся обналичиванием похищенных денег. Состав участников постоянно менялся.
Если в октябре 2011 года на основном сервере управления бот-сетью было зарегистрировано около 700 тыс. зараженных компьютеров, то спустя полтора месяца эта цифра удвоилась, а к маю 2012 года составила 6 млн. При этом количество фактически действующих зараженных компьютеров насчитывало около 60-70 тыс.
Доказано, что кибермошенники заработали свыше 150 млн руб., однако реальная сумма похищенных денег больше в десятки раз. Среди пострадавших — клиенты как российских, так и иностранных банков.