Các chuyên gia đã phát hiện ra chiến dịch này sau khi điều tra vị hack vào máy chủ Ủy ban Quốc gia Dân chủ Mỹ (DNC) .

Cũng như CrowdStrike và Fidelis trước kia , SecureWorks đã phát hiện ra sự liên quan tới nhóm tin tặc TG-4127 (Threat Group -4127) , là nhóm do thám mạng có liên quan tới người Nga cũng còn có những tên gọi khác như Fancy Bear, Sofacy, APT28, Sednit, Pawn Storm, và Strontium.

SecureWorks nói rằng , có cùng kiểu những bức thư Phishing dùng để xâm nhập những cá nhân của DNC cũng được dùng trong chiến dịch tấn công trong khoảng thời gian giữa tháng Ba và tháng Chín 2015 .

Những thư rác trong chiến dịch này dùng Email có chứa đường link Bitly . Những đường link này định hướng người dùng tới tên miền accoounts-google[.]com , bạn chú ý có thừa chữ “o” . Mỗi đường link Bit.ly rút gọn hướng tới URL accoounts-google[.]com riêng biệt có chứa giá trị mã hóa Base-64 ở phía dưới .

Tin tặc TG-4127 dùng những giá trị này để đưa người dùng  tới một trang đăng nhập Google giả mạo yêu cầu người dùng vào mật khẩu để tiếp tục .

SecureWorks đã nhận biết được 4.396 địa chỉ URL Bitly riêng biệt trong một phần của chiến dịch và nhắm tới 1.881 tài khoản Google . Các chuyên gia cho biết người dùng  đã truy cập 59% trong số 4.396 liên kết Bitly . 35% trong số 59% truy cập đường link một lần duy nhất điều đó cho thấy có vẻ như nạn nhân đã đưa vào mật khẩu tài khoản của mình và như thế tin tặc đã thành công .

Về mục tiêu , theo dữ liệu thống kê cho thấy 64% địa chỉ Email là của các cá nhân trong chính phủ , quân đội , các nhà thầu chính phủ và các nhà nghiên cứu hàng không . Phần còn lại là những nhà báo , những tổ chức phi chính phủ và những nhà hoạt động chính trị .