האקר הצליח לפרוץ ליותר מ- 600,000 נתבים באמצעות עדכון קושחה זדוני. לקוחות דיווחו שהנתבים פשוט הפסיקו לעבוד, הציגו נורה אדומה וסרבו לבצע אתחול. חוקרי אבטחה מ- Black Lotus Labs ב- Lumen Technologies פרסמו ניתוח מפורט של התקרית החריגה אשר התרחשה במהלך 72 שעות באוקטובר 2023. במה שהדו"ח מתאר כאירוע הרסני, הפכו נתבי האינטרנט שזוהו כדגמי ActionTec T3200 במשרדים או במשרדים ביתיים, לבלתי ניתנים להפעלה לצמיתות ודרשו החלפת חומרה." חוקרי הסייבר דיווחו כי סריקה גילתה ש- 49% מהנתבים הוסרו לפתע ממספר המערכת האוטונומית של ספק שירותי האינטרנט.
נראה כי מתקפת הסייבר הושקה באמצעות טרויאני גישה מרחוק בשם Chalubo, אשר זוהה לראשונה בשנת 2018. טרויאני זה ידוע ככולל מטענים המותאמים אישית עבור נתבי SOHO ומכשירי IOT. הטרויאני יכול להוציא לפועל סקריפטים זדוניים כדי לבצע מתקפות DDoS (מניעת שירות מבוזרת). "אנו חושדים שפושעי הסייבר העומדים מאחורי מתקפת סייבר זו בחרו בנוזקות ספציפיות במטרה לטשטש את עקבותיהם", אמרו חוקרי הסייבר. עם זאת, המניע למתקפה עדיין לא ברור ו- Black Lotus Labs אומרים כי לא נמצאו ראיות לפעילות סייבר של מדינת לאום עויינת. יש לציין כי חוקרי הסייבר אישרו בביטחון רב שלא מדובר בתאונה, אלא במעשה מכוון בכוונה לגרום להשבתת שירות האינטרנט, במילים אחרות – אירוע מניעת שירות.
למרות שדו"ח Black Lotus Labs אינו מציין את ספק האינטרנט המעורב, דיווחה Ars Technica על כך שמדובר בחברת Windstream. דיווח זה מבוסס על פרטים שהתקבלו ממנויי Windstream במהלך אותו פרק זמן באוקטובר וכן, בהתבסס על דגמי הנתבים שהושפעו ממתקפת הסייבר. Windstream טוענת כי תספק ללקוחותיה נתבים חדשים בהקדם האפשרי.
