El «modus operandi» de la organización de ciberdelincuentes liderada por el hacker detenido en Alicante comenzaba con el envío masivo de correos electrónicos fraudulentos suplantando la identidad de organismos o empresas y dirigidos a una multitud de direcciones de empleados de entidades bancarias de todo el mundo. Estos correos adjuntaban un fichero que contenía un código malicioso. Una vez el empleado abría el fichero adjunto se ejecutaba en su ordenador un código malicioso. Este iniciaba la descarga de un paquete del software que permitía luego el control remoto del mismo desde servidores de comando y control. Desde el ordenador infectado del empleado acababan tomando el control de sistemas críticos del banco (sistema de transacciones o infraestructura de cajeros automáticos). Una vez los cibercriminales conseguían el control, manejaban a su antojo los cajeros automáticos ordenándoles remotamente que expidieran dinero, ejecutaban modificaciones de saldo en cuentas concretas para realizar posteriormente extracciones con tarjetas asociadas, o desviaban transferencias de dinero a cuentas de la organización.
