Huntress bir blog yazısında, saldırıların hepsinin tek bir kaynaktan, internet sağlayıcısı LSHIY LLC tarafından kontrol edilen bir IPv6 adres aralığından geldiğini söyledi. LSHIY, daha sonra saldırıya karışan IP adreslerini kullanan müşterinin erişimini sonlandırdı.
Huntress bir süredir sprey saldırılarını izliyordu ve 12 Haziran'a göre hafif bir artış olduğunu ve ardından 22 Haziran'da 30 müşterisinin etkilendiği ani bir artış fark etmişti.
Saldırganlar, doğrulanmış kimlik bilgilerini OAuth ROPC (Kaynak Sahibi Parola Kimlik Bilgileri) akışı aracılığıyla yeniden oynattı. Bu, bir kiracı için /token uç noktasında bir kullanıcı adı/parola alır ve doğru kimlik bilgileri sağlandıktan sonra kullanıcı tarafından atanan yeni bir belirteç basar. Bunun mümkün olmasının nedeni, çok faktörlü kimlik doğrulamanın (MFA) saldırganlar tarafından uygulanan teknikleri işleyecek şekilde yapılandırılmamış olmasıdır.