L'opération a été menée par le Centre de lutte contre la criminalité numérique (C3N) de la Gendarmerie en lien avec le FBI. Le botnet a été créé en 2015 et s'est répandu sur 850 000 ordinateurs dans 160 pays.

Ils étaient donc sous le contrôle d'un groupe de pirates qui s'en sont servi pour « mener des attaques dans des hôpitaux pour voler les données des patients, à faire du randsomware, à bloquer des ordinateurs avec des demandes de rançon et ça servait – au moment où on lui est tombé dessus – à principalement générer de la crypto monnaie », explique à Europe 1 le colonel Jean-Dominique Nollet, commandant du C3N.

En mars 2019, le centre de commande et contrôle du botnet se trouvait en France, chez un hébergeur de la région parisienne. Les gendarmes se sont rendus sur place et ont effectué une copie du serveur pour ensuite le décortiquer dans leurs laboratoires. 

Ils sont ensuite retournés chez l'hébergeur pour remplacer le serveur par une version modifiée par leurs soins pour prendre le contrôle du botnet : « Quand les virus viennent voir la tour de contrôle en disant "est-ce que j’ai un ordre ?", on leur a donné l’ordre de se neutraliser ». Une « première mondiale » selon la gendarmerie.

Enfin, les enquêteurs précisent que la plupart des ordinateurs infectés n'avaient pas d'antivirus à jour. Ils rappellent l'importance de ne pas cliquer sur un lien suspect, de ne pas télécharger des pièces jointes d'expéditeurs inconnus et d'analyser son ordinateur et clés USB avec un antivirus.