Lo scenario più probabile è che ProtonMail sia stato utilizzato come server di comando e controllo ei bot sono stati configurati per ascoltare i messaggi da / a determinati nomi utente ed eseguire qualsiasi comando sia stato trovato all'interno. Ora, se vedi un messaggio da un utente inviato a 1.000 utenti (o forse un altro utente con 1.000 indirizzi IP registrati), e in pochi secondi quei 1.000 indirizzi IP si accendono con una sorta di attacco DDoS (riflessione, pacchetti jumbo, qualunque cosa), puoi essere abbastanza sicuro di chi sia il colpevole.
La morale della trama è: non usare i tuoi obiettivi DDoS come server C & C a meno che tu non voglia essere catturato. Il fatto che i messaggi siano stati crittografati non ha importanza, perché apparentemente c'era una chiara correlazione tra i nomi degli utenti, gli indirizzi IP e la tempistica degli attacchi. L'uso della crittografia non ti protegge automaticamente da altre forme di prova, come i registri IP.
Come riportato dal notiziario, non usavano OpSec (Sicurezza operativa), o potrebbero non essere stati catturati. Ad esempio, configurando ciascun bot per utilizzare una VPN per ricevere i messaggi ma attaccando direttamente, randomizzando il tempo tra il messaggio e l'attacco, usando un nome utente separato su VPN per comandare l'attacco, ecc.