トレンドマイクロは、同社を含む多数のセキュリティ業界関係者とFBI、エストニア警察の捜査により、400万以上のボットによる形成される巨大ネットが閉鎖されたことと、その技術的背景などをブログに掲載している。

Rove DigitalによりコントロールされていたIPアドレスのリスト(同社ブログより)

この巨大ボットネットは、400万以上の感染コンピューターにより形成されており、感染するとDNS設定が別のIPアドレスに変更され、ユーザーが気づかないうちに利用される「DNS改変型ボットネット」で、Webサイト上の広告を不正なものに置き換えたり、不正プログラムに感染させるなど犯罪者の金儲けの手段としていた。同社では、2006年から今回のグループを把握、監視してきたとしている。

ブログによると、今回関与が疑われているグループは「Rove Digital」というもので、「社員が毎朝出勤するごく普通の正規の IT企業」という様相を呈していたが、オフィスを拠点に毎年膨大な数のボットネットを操作することで莫大な金銭的な利益を上げていたと見られほか、偽セキュリティソフト(FAKEAV)の販売に直接関与していた形跡なども見られるとしている。

FBIは今回の捜査を「Operation Ghost Click」と名付けており、ニューヨークとシカゴのデータセンターに対して強制捜査を行っているほか、エストニアのタルトゥにおいてエストニア警察により複数のメンバーが逮捕されている。