Relatórios e perícias mostram a movimentação da Polícia Federal e do setor de inteligência do Ministério da Justiça no caso. De acordo com esses documentos, a investigação foi oficialmente aberta no próprio gabinete do ministro, onde ele estava quando detectou o ataque hacker. Moro havia acabado de chegar de uma reunião com outros ministros no Palácio do Planalto.
Ainda segundo os documentos, às 19h07 do dia 4 de junho, as equipes de inteligência da PF e da área de Tecnologia da Informação do Ministério da Justiça tomaram uma primeira providência: manter contato com o hacker por meio do Telegram.
Foi, conforme relatórios, uma espécie de "ação controlada", realizada do gabinete do ministro. A decisão foi tomada porque, durante a reunião de emergência no Ministério da Justiça, o diretor de Tecnologia da Informação da pasta, Rodrigo Lange, e a chefe de gabinete do ministério, Flávia Blanco, notaram que o número do celular de Moro aparecia com o status "online" no Telegram. Eles deduziram, portanto, que o hacker já estava utilizando o aplicativo de mensagens se passando por Moro.
Com o hacker "ativo", a estratégia dos investigadores foi tentar identificar seu IP (a "identidade" do computador usado por ele) e, assim, localizá-lo. Lange enviou ao número de Moro, via Telegram, um link que direcionava para o site do Ministério da Justiça. A intenção era fazer o hacker acessar o link, o que poderia ajudar a identificar o IP. A tentativa não teve sucesso.
Identificação
Depois de alguns minutos, Flávia Blanco tentou contato com o hacker e encaminhou, novamente, um link direcionado para o site do ministério. Desta vez, no servidor da pasta, foi identificado um endereço de IP considerado atípico, da Rússia.
Num segundo momento, ainda durante a reunião, a equipe do ministério providenciou um novo celular para Moro reinstalar o aplicativo Telegram. No entanto, o invasor já tinha feito o "duplo fator de identificação", um dispositivo de segurança que impossibilita qualquer alteração desse tipo.
A equipe do ministro desligou o aparelho celular e retirou o chip. Moro relatou ao perito criminal Fabrício Dantas Brito que recebeu três ligações "atípicas de um número da TIM", mas que apenas a primeira chamada foi atendida. Disse ainda que não fazia uso do Telegram há mais de dois anos. Com as informações, a PF produziu o primeiro relatório de inteligência sobre o caso dos hackers.
A Operação Spoofing já realizou duas fases. Na primeira, em julho, foram detidas quatro pessoas, entre elas Walter Delgatti Neto. Ele admitiu ser o responsável pelas invasões e por capturar mensagens de autoridades.