לדברי חברת הסייבר Checkmarx, העלתה כנופיית דיוג במסגרת מערך מתקפות דיוג אוטומטי חדש וגדול, למעלה מ- 144,000 ערכות קוד פתוח זדוניות לשלושה מאגרי קוד. בעבודה עם ספקית האבטחה Illustria, גילתה לראשונה Checkmarx את מערך המתקפות לפני מספר חודשים, כשהבחינה באשכולות גדולים של חבילות קוד שפורסמו במאגר NuGet. התברר כי 135,000 חבילות קוד כאלו הועלו על ידי אותם האקרים לפלטפורמה זו, עם עוד 212 למאגר npm ו- 7824 למאגר PyPi.
ערכות הקוד כוללות קישורי דיוג שנועדו "לקצור" מחשבונות שונים של קורבנות את כתובות הדוא"ל, שמות המשתמשים והסיסמאות שלהם. חלק מהקישורים הובילו את הקורבנות לאתרים לגיטימיים כמו אתר המסחר האלקטרוני AliExpress, שהניב עמלות הפניה עבור אותם האקרים. לפי Checkmarx: "ההודעות בחבילות הללו מנסות לפתות את הגולשים ללחוץ על קישורים עם הבטחות של צ'יטים למשחק, משאבים חינמיים שונים והגדלת עוקבים ולייקים בפלטפורמות מדיה חברתית כמו טיקטוק ואינסטגרם".
מערך מתקפות הדיוג קישר ליותר מ- 65,000 כתובות אתרים ייחודיות ב- 90 דומיינים, כאשר כל דומיין מארח מספר דפי דיוג שונים. דפי האינטרנט המטעים הללו עוצבו היטב ובמקרים מסוימים אפילו כללו צ'אטים אינטראקטיביים מזויפים המציגים מצג שווא של משתמשים המקבלים את הצ'יטים או את העוקבים שהובטחו להם. Checkmarx טוענת כי כנופיית הדיוג ניסתה לשפר את האופטימיזציה של אתרי הדיוג שלה למנועי חיפוש (SEO) על ידי קישורם לאתרים לגיטימיים כמו NuGet. הדבר איפשר להם להוציא לפועל מספר רב של ערכות דיוג בפרק זמן קצר, מה שהקשה על צוותי האבטחה השונים לזהות ולהסיר את הרכות במהירות. אוטומציה של התהליך גם אפשרה להאקרים ליצור מספר רב של חשבונות משתמשים, מה שהקשה על מעקב אחר מקור המתקפה. עובדה זו מצביעה על התחכום והנחישות של ההאקרים שהיו מוכנים להשקיע משאבים משמעותיים כדי להוציא לפועל את מערך מתקפות הדיוג.