Nach Darstellung der Behörden konzentrierte sich das Netzwerk auf Frauen, die vor dem Krieg flohen. Sie wurden in besonders betroffenen Regionen angeworben und mit dem Versprechen von Unterstützung nach Spanien gebracht. Vor Ort dienten sie als Strohleute: Unter Begleitung von Mitgliedern der Gruppe eröffneten sie Bankkonten und beantragten Kreditkarten, deren Kontrolle danach an die Kriminellen überging.

Die Täter griffen laut Polizei auch auf staatliche Zuwendungen zu, welche die Frauen nach Erhalt des Flüchtlingsstatus in Spanien bezogen. In vielen Fällen wurden die Frauen kurz nach der Kontoeröffnung in die Ukraine zurückgeschickt, sodass die Gruppe ungehindert über die in ihren Namen angelegte Banken-Infrastruktur verfügen konnte.

Die spanische Polizei zufolge operierten die Verdächtigen vor allem von Alicante und Valencia aus, wo sie das Betrugssystem steuerten. Mit den Bankkonten legte das Netzwerk eine Vielzahl von Profilen auf Online-Glücksspielplattformen an. Den Ermittlern zufolge setzte die Gruppe automatisierte Programme, sogenannte Bots, ein, die zeitgleich tausende Wetten mit niedrigen Quoten platzierten. So entstanden stetige Gewinne, während zugleich die Herkunft der Gelder verschleiert wurde. Ein Teil der Erlöse floss anschließend in Luxusimmobilien in ganz Europa.

Um die Operation zu vergrößern, stützte sich das Netzwerk stark auf gestohlene persönliche Daten. Die Polizei stieß auf mehr als 5.000 gestohlene Identitäten aus 17 verschiedenen Nationalitäten sowie auf mindestens 3.000 kompromittierte Kreditkarten, die mit dem System in Verbindung standen.

Bei Razzien in Alicante und Valencia beschlagnahmten die Ermittler zehntausende Euro in Bargeld und Kryptowährung, vier Luxusfahrzeuge sowie dutzende elektronische Geräte. Parallel zu den spanischen Maßnahmen führten ukrainische Behörden acht Durchsuchungen bei Verdächtigen durch, die mit dem Netzwerk in Verbindung stehen.