Nach Angaben des US-Justizministeriums entwickelte die Gruppe rund um Angelov eigene Programme, um Spam-E-Mails zu verteilen, und verfeinerte ihre Malware so, dass sie Sicherheitswerkzeuge umging. Angelov und sein Mitbetreiber rekrutierten dem Strafzumessungsschreiben zufolge Mitglieder und steuerten die einzelnen Aktivitäten. Wichtigstes Werkzeug war eine Backdoor, über die Schadsoftware auf die Rechner der Opfer geladen werden konnte.

Hauptziel war es, den Zugang an andere kriminelle Gruppen weiterzuverkaufen, die ihn für Erpressung mit Ransomware nutzten. Zwischen August 2018 und Dezember 2019 stellte TA551 der BitPaymer-Gruppe Zugang zu seinem Botnetz bereit. Damit konnte die Bande 72 US-Konzerne infizieren, was zu Erpressungszahlungen von mehr als 14,17 Millionen US-Dollar führte.

Auch die Betreiber der Schadsoftware IcedID zahlten Angelovs Gruppe nach DoJ-Angaben über eine Million US-Dollar, um Ende 2019 oder Anfang 2020 Zugang zum Botnetz zu erhalten und Ransomware zu verteilen; das Ausmaß des Schadens ist derzeit nicht bekannt. Vermutlich entstand diese Zusammenarbeit nach der Zerschlagung der BitPaymer-Gruppe. Laut dem US-amerikanischen FBI dauerte sie bis etwa August 2021 an.

Laut einem Bericht des zu Google gehörenden Unternehmens Mandiant vom Februar 2021 verleiteten Phishing-E-Mails mit passwortgeschützten Archiven die Empfänger dazu, makrofähige Microsoft-Word-Dokumente zu öffnen. Das führte zum Einsatz eines Makro-Downloaders namens MOUSEISLAND, der als Vehikel für eine zweite Komponente mit dem Codenamen PHOTOLOADER diente und schließlich IcedID installierte. Sowohl MOUSEISLAND als auch PHOTOLOADER werden TA551 zugeschrieben.

Im November 2021 berichtete Cybereason, dass die Betreiber des Trojaners TrickBot mit TA551 zusammenarbeiteten, um Conti-Ransomware zu verteilen. Im selben Monat teilte auch das französische Computer Emergency Response Team (CERT-FR) mit, dass die Ransomware-Bande Lockean die Verteildienste von TA551 nutzte – im Anschluss an die Zerschlagung des Emotet-Botnetzes durch Strafverfolgungsbehörden Anfang 2021.

“Ausländische Cyberkriminelle wie dieser Angeklagte nehmen amerikanische Bürger und Unternehmen ins Visier”, erklärte US-Staatsanwalt Jerome F. Gorgon Jr. Ihre Methoden würden immer ausgefeilter, das Motiv bleibe aber gleich: andere zu betrügen und ihnen zu schaden.

Das Urteil fiel einen Tag nachdem das DoJ mitgeteilt hatte, dass ein weiterer russischer Staatsbürger, der 26-jährige Aleksei Olegovich Volkov (Aliase “chubaka.kor” und “nets”), zu fast sieben Jahren Haft verurteilt wurde. Er hatte sich schuldig bekannt, als Initial Access Broker für Yanluowang-Ransomware-Angriffe gegen acht US-Unternehmen zwischen Juli 2021 und November 2022 gehandelt zu haben.