Jak przekazały służby, działania hakerów były wymierzone w wysokich rangą przedstawicieli władz, wojskowych i urzędników w różnych krajach, a także w dziennikarzy. Holenderskie władze poinformowały, że osoby z Holandii, które mogły paść ofiarą tej operacji, zostały już powiadomione. Nie ujawniono jednak, ile ich było ani kim są.
Wyłudzali dostępy do kont
AIVD i MIVD zaznaczyły, że ataki nie polegały na wykorzystywaniu luk w samych aplikacjach, lecz na manipulowaniu użytkownikami. Cyberprzestępcy mieli podszywać się m.in. pod dział wsparcia technicznego komunikatora Signal i nakłaniać ofiary do podania kodów weryfikacyjnych, numeru PIN lub do zeskanowania kodu QR. W ten sposób mogli przejąć konto lub dodać własne urządzenie do już istniejącego profilu, uzyskując dostęp do wiadomości – także tych prowadzonych w czatach grupowych.
Służby przypomniały, że podobne działania rosyjskich grup obserwowano już wcześniej. W latach 2023–2024 stosowano phishing z wykorzystaniem zaproszeń do grup czatowych, natomiast w 2025 r. prowadzono kampanię, w której użytkowników Signala nakłaniano do rzekomej ponownej weryfikacji konta.
W lutym tego roku przed zbliżonymi atakami ostrzegał również niemiecki wywiad. Informował wtedy o działaniach wymierzonych w polityków, wojskowych, dyplomatów oraz dziennikarzy śledczych w Niemczech i innych państwach Europy.
Holenderskie służby zaleciły m.in., aby nie przekazywać poufnych ani tajnych informacji za pośrednictwem komunikatorów, regularnie sprawdzać listę urządzeń połączonych z kontem, ignorować nieoczekiwane zaproszenia do grup oraz rozważyć korzystanie z funkcji znikających wiadomości.
