Azt nem lehet tudni, kik állnak az országszerte, de túlnyomó többségükben Budapesten kiürítéseket és rendőrségi átvizsgálásokat okozó fenyegetések mögött. Egyelőre arról írt a sajtó, hogy az e-mailek legalább egy részét a harcos@coredp.com emailcímről küldték ki. A coredp.com domainről a Telex szerint nyilvános eszközökkel megállapítható, hogy a TempM nevű szolgáltatás áll mögötte, amely eldobható, bárki által használható e-mail-címeket kínál. Ugyanitt látható az is, hogy a tempm.com domain MX rekordja, azaz a mögötte álló e-mail-szerver IP-címe, a 91.196.52.205 a PP KOM i TEX, vagyis a Komitex nevű ukrán internetszolgáltatóhoz tartozik. Magyarul ezt az „eldobható” e-mail-címet egy olyan oldalon hozták létre, amelynek a levélküldő szolgáltatása Ukrajnából működik.
Kiberbiztonsági szakértők nyilvánosságra hozták az egyik fenyegető e-mail fejlécét, ebben visszakövethető a levél útja. Ez a levél a harcos@mrdmn.com címről érkezett, amelyet az email-fake.com oldalon hoztak létre, de emögött ugyanaz az ukrán e-mail-szerver áll, mint a másik cím létrehozásához használt szolgáltató mögött, a kettő gyakorlatilag ugyanaz, írja a lap. Az e-mailt a Yandex nevű orosz cég levélküldő szolgáltatásán keresztül küldték.
Mindkét eldobható e-mail-cím úgy működik, hogy az e-mail-cím és a létrehozásához használt oldal ismeretében bárki hozzáférhet az oda érkező levelekhez. A Telex megnézte a két fiókot, az egyikből délutánra már eltűntek a korábbi levelek, a másikban még ott voltak, illetve mindkettőben voltak magyar címről érkező üzenetek, részben viccesnek szánt ("bombaaa"), részben felháborodott reakciókkal.
Az ilyen fiókokat bárki használhatja, vagyis nem lehet kijelenteni, hogy oroszok vagy ukránok állnának a levélküldés, illetve a fenyegetés mögött.
(A nyitókép illusztráció.)