Nach Angaben der spanischen Nationalpolizei bestand das Netzwerk aus mehr als 70 bekannten Personen. Der Kern der Operation soll aus nur wenigen Akteuren bestanden haben, während der Großteil der Beteiligten als Geldkuriere eingesetzt wurde. Insgesamt verfügte die Gruppe laut den Ermittlern über 19 registrierte Unternehmen und annähernd 1.000 Finanzkonten.

Die eigentlichen Angriffe liefen demnach aus zwei „Schaltzentralen“ heraus. Dort sollen die Täter Man-in-the-Middle-Angriffe, CEO-Imitationsbetrug, Social Engineering mit gefälschten Rechnungen und Betrug über falsche Investmentplattformen betrieben haben. Insgesamt beziffern die Behörden die erlangte Summe auf mindestens 140 Millionen Euro. Davon entfielen laut den Ermittlern 61 Millionen Euro auf CEO-Betrugsangriffe im Jahr 2024.

Beim Zugriff stellten die Behörden 15 Computer und 170 Smartphones aus den Operationszentren sicher. Zudem konnten sie 3 Millionen Euro an Geldern einfrieren und zurückholen, die laut Polizei kurz vor dem Diebstahl standen. Dieses Geld wurde später an die Opfer zurückgegeben.

Festgenommen wurden vier mutmaßliche Schlüsselfiguren. Darunter war laut Behörden der nicht namentlich genannte Hauptverdächtige, der kürzlich von Spanien nach Porto in Portugal gezogen war und dort gemeinsam mit seiner Partnerin in seiner Wohnung festgenommen wurde. Ein weiterer Hauptverdächtiger soll von seinem Zuhause aus eine Betrugsagentur betrieben und die finanzielle Infrastruktur der Gruppe verwaltet haben. Die Ermittler beschreiben ihn als sogenannten „Mule Herder“, also als Koordinator der Geldkuriere. Er wurde auf einer Reise in Panama festgenommen.

Die Geldwäsche war laut den Ermittlern aufwendig organisiert. Internationale Staatsangehörige seien nach Spanien gebracht worden, um als Geldkuriere zu arbeiten. Diese Personen gründeten Unternehmen, über die sich neue Bankkonten eröffnen ließen. Die Geldströme liefen nach Behördenangaben über 19 Unternehmen, 120 Händlerkonten und 800 Bankkonten. Die Konten waren dabei in mehrere Ebenen gegliedert, sodass unrechtmäßig erlangte Gelder durch verschiedene Stationen und mehrere Länder geleitet wurden, bevor sie schließlich in bar abgehoben wurden.

Louis Eichenbaum, Bundes-Technologiechef bei ColorTokens, bezeichnete die Zerschlagung solcher Finanzstrukturen als ebenso wichtig wie andere Teile einer Cybercrime-Operation. Cyberkriminelle könnten Server und Domains schnell ersetzen, sagte er, ein vertrauenswürdiges Finanznetz aus Bankkonten, Briefkastenfirmen und Geldkurieren lasse sich aber deutlich schwerer neu aufbauen. Ob die spanische Aktion dauerhaft Wirkung entfaltet, hänge davon ab, ob die gewonnenen Finanzinformationen zu weiteren Festnahmen, Vermögensabschöpfungen und Maßnahmen gegen die verbleibende Infrastruktur der Gruppe führten.

Im jüngsten landesweiten Bericht meldete Spaniens Innenministerium, dass die Cyberkriminalität im Land nach Jahren stetigen Wachstums im Jahr 2024 um 1,6 Prozent zurückgegangen sei. Andrey Leskin, Technikchef von Qrator Labs, hält groß angelegte Zugriffe von Strafverfolgern zwar für wertvoll, aber kaum für eine dauerhafte Lösung. Er verweist darauf, dass Opfer, Angriffsinfrastruktur und Täter oft in unterschiedlichen Rechtsräumen lägen, was Beweissicherung, Ermittlungskoordination und Strafverfolgung erheblich erschwere.