Las credenciales fueron filtradas por un actor conocido como Orange en un foro de piratería llamado RAMP, del cual él es el administrador. A este actor también se le atribuye su participación en la operación Babuk Ransomware.

Después de un conflicto entre la banda, Orange se separó y se cree que ahora lidera otra operación de ransomware llamada Groove.

Cuando el actor creo una publicación con el vinculo de un archivo que se supone contiene las cientos de miles de credenciales, también apareció una publicación en el sitio de Groove que contiene las mismas credenciales.

Ambos enlaces conducen a un servidor de Tor el cual es usado por la banda de ciberdelincuentes Groove.

Un estudio realizado por BleepingComputer, demuestra que el archivo contiene cerca de 500 mil credenciales de 12.856 dispositivos, sin bien no se especifica que alguna de las credenciales funciona, BleepingComputer confirma que todas las direcciones IP verificadas son de servidores VPN de Fortinet.

En un estudio hecho por Advanced Intel, demuestra que las direcciones IP son de dispositivos de todo el mundo y que 2.959 son de Estados Unidos.