Ponad 80 państw wzięło udział w kontrnatarciu na botnet Citadel. Uruchomione pod patronatem Microsoftu Centrum ds. cyberprzestępczości oraz FBI wspólnie koordynowały akcję Operation b54, która pozwoliła uwolnić ponad tysiąc z szacowanych 1400 sieci zainfekowanych trojanem.
Przedstawiciele Microsoftu podają, że szkodliwy kod zaszyty był w pirackich wersjach Windows. Ich użytkownicy zazwyczaj nie byli świadomi ataku, ponieważ działalność Citadel skupiała się na wykradaniu danych bankowości elektronicznej oraz blokowaniu dostępu do poprawek bezpieczeństwa i stron z oprogramowaniem antywirusowym, które mogłyby doprowadzić do wykrycia infekcji. Większość z 5 mln komputerów zombie znajdowało się na terenie Ameryki Północnej, Europy Wschodniej, Indii, Hong Kongu i Australii. W ciągu minionych 18 miesięcy operator botnetu wykradł ponad 500 mln dolarów z takich instytucji finansowych, jak American Express, Bank of America, Citigroup, Credit Suisse, PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada czy Wells Fargo.
Mimo że duża część botnetu została unieszkodliwiona, wciąż nie udało się namierzyć jego twórcy. Śledczy podejrzewają, że osoba ukrywająca się pod pseudonimem Aquabox mieszka we wschodniej części Europy — wskazywać na to ma fakt, że Citadel został zaprogramowany w taki sposób, by nie atakować ukraińskich i rosyjskich komputerów, tym samym nie ściągając na siebie uwagi tamtejszych organów ścigania. W zarządzaniu botnetem Aquaboksowi pomaga ponoć 81 „poruczników”.
