По данным следствия сообщество действовало на территории России с 2011 года и специализировалось на массовых хищениях денежных средств со счетов физических и юридических лиц, открытых в различных кредитных организациях. Доступ к данным пользователей преступники получали с помощью банковского трояна.
Вирус загружался на компьютеры потерпевших через обнаруженные уязвимости программного обеспечения с помощью системы эксплойтов Blackhole. Затем информация о зараженных устройствах направлялась на специально созданные контрольно-командные серверы. Завладев сведениями о логинах и паролях пользователей, члены преступного сообщества формировали и отправляли в кредитные организации подложные платежные поручения от имени владельцев банковских счетов, в которых в качестве получателей денежных средств указывались реквизиты физических и юридических лиц, подконтрольных членам преступного сообщества.
Установлено, что от деятельности участников преступного сообщества пострадали клиенты российских банков, расположенных на территории Москвы, Тюмени, Ульяновска, Краснодара, Петрозаводска и Курской области.