A kampányszerű támadás Iránból indult ki, email-alapú adathalászat volt, s arra akarták rávenni a gyanútlan fióktulajdonosokat, hogy adják meg felhasználónevüket és jelszavukat. A Google-nál szabály, hogy figyelmeztetni kell a felhasználókat az "államilag támogatott támadásokra és más gyanús tevékenységre", de a cég nem nevezte meg a támadás elkövetőjét vagy elkövetőit, csak annyit közölt, hogy szemmel láthatóan ugyanaz a csoport tette, mint amelyik 2011-ben hamis digitális tanúsítványokat készített.
A Google internetbiztonsággal foglalkozó blogján közölte szerdán egy olyan adathalász email képernyőképét, amelyet az összehangolt támadásban használt a magát a szolgáltatás üzemeltetőjének kiadó elkövető. Az Email.Settings@gmail.com" címről elküldött levél tartalmazott egy linket, amely egy hamis bejelentkezési lapra mutatott, és kérte a fióktulajdonos adatait.