Ativo desde 2013,  o cibercriminoso é conhecido como "VandaTheGod" e, além do hacktivismo que praticou, estendeu sua atividade para roubar credenciais de cartões de crédito e dados pessoais

 Os pesquisadores da Check Point descobriram a identidade de um cibercriminoso chamado "VandaTheGod". Esse cibercriminoso foi responsável pela invasão e alteração em milhares de sites oficiais de governos, instituições acadêmicas e empresas privadas em todo o mundo desde 2013. Para fazer isso, ele realizou o que se conhece por "Defacing" (desfiguração, alteração), um tipo de ciberataque que consiste em mudar a aparência visual de uma página da web. Embora ele tenha orquestrado originalmente seus ataques para espalhar uma certa ideologia e lançar mensagens antigovernamentais (hacktivismo), com o tempo ele conseguiu roubar credenciais bancárias e vazar dados pessoais sensíveis.

O "VandaTheGod" se destaca por ser muito ativo nas redes sociais, uma vez que, por meio de diferentes perfis e canais, deu visibilidade às suas campanhas baseadas em ciberameaças. De fato, ele chegou a publicar no Twitter a sua intenção de invadir mais de 5 mil páginas da web, tendo alcançado o número exato de 4.820 sites em mais de 40 países, segundo levantamento realizado por especialistas da Check Point. Entre os países atingidos estão os Estados Unidos, com 612 sites afetados (57% do total) liderando o ranking dos alvos favoritos desse cibercriminoso, seguidos pela Austrália (81 sites) e Holanda (59 sites). Entre suas vítimas nos Estados Unidos estão os sites oficiais do estado de Rhode Island e da cidade da Filadélfia.

No entanto, toda essa atividade digital acabou se voltando contra ele, pois os pesquisadores da Check Point detectaram, em uma das capturas de tela que ele costumava compartilhar, uma aba do Facebook com um nome de usuário específico que os levou a um perfil pertencente ao atacante. Os pesquisadores usaram as contas do "VandaTheGod" no Twitter e no Facebook para obter pistas sobre sua verdadeira identidade. Desta forma, eles tiveram de analisar milhares de posts e tuítes dos últimos anos, a maioria deles escritos em português e nos quais afirmava fazer parte do BCA (Brazilian Cyber Army, ou seja, Exército Cibernético Brasileiro), até descobrirem a provável identidade e localização real (Uberlândia, Minas Gerais) desse cibercriminoso. Após isso, a Check Point forneceu todas essas informações às autoridades competentes.