Door een wijziging van gegevens op DNS-servers waren duizenden websites omgeleid naar een malafide website. In eerste instantie werd gedacht dat er allerlei websites waren gecompromitteerd en dat via de websites malware werd verspreid. Later bleek dat via een legitiem account van het SIDN wijzigingen waren aangebracht in de DNS-servers. Het SIDN verzorgt de registratie van internetdomeinen. Hierbij wordt vastgelegd welke IP adressen gekoppeld zijn aan welke domeinnamen. Het SIDN heeft niet aangegeven van welke registrar de accounts gegevens waren misbruikt.
Deze hack raakte webwinkels als Conrad en Champagnekopen.nl maar ook nieuwssites zoals het Nederlands Dagblad en Mediacourant.nl. Door de foutieve redirect die door de hackers werd ingesteld werden bezoekers omgeleid naar de IP-adressen van derden. Op deze websites stond vervolgens alleen maar een blanco ‘Under Construction’ pagina. Deze pagina bevatte echter een iFrame waarmee malware werd aangeboden.
Deze malware was de beruchte Blackhole-exploit kit die via verouderde Java en PDF software toegang verschaft tot de pc’s van de bezoekers. De geinstalleerde malware haalde vervolgens weer andere malware binnen de pc onderdeel maakt van het Tor netwerk. Na de ontdekking heeft het nog wel ruim een dag geduurd voordat het opgelost was omdat het enige tijd duurt voordat alle DNS servers weer de juiste informatie hebben ontvangen.