Tomasz S. wraz ze wspólnikiem Piotrem P. wykorzystywał działanie złośliwego oprogramowania, które atakowało firmy w Australii. Po udanym ataku wirus pozwalał na dostęp do bankowości elektronicznej i przelanie pieniędzy na konta "mułów" czyli osób, które zgadzały się na pośredniczenie w procederze oraz przetrzymywanie wykradzionych sum do momentu uspokojenia się całej sytuacji. Wówczas kwoty były przelewane na jedno z wielu kont sprawcy, który poddawał je procesowi prania. Londyńska policja informuje, że wpuszczał je w obieg w firmach na terenie Wielkiej Brytanii, a tym samym legalizował.
Czytaj też: Chiński odwet na europejskim banku?
W czasie śledztwa udało się ustalić, że skazany jest także powiązany z co najmniej dwoma atakami cybernetycznymi z kwietnia 2014 roku na firmy z Wielkiej Brytanii. Przedsiębiorstwa budowlane zaatakowano sposobem „man-in-the-middle”. Złośliwe oprogramowanie przesłano na skrzynki pracowników, skąd mogło dalej zdobyć dane logowania do kont bankowych firmy.
Według informacji policji Polaka udało się zatrzymać w wakacje tego roku. Wcześniej, w grudniu 2014 roku policjanci zdobyli adresy IP urządzeń Tomasza S., który zarządzał całym procederem i pełnił w nim ważną rolę. Dopiero po dokładnej ich analizie udało się odkryć wszystkie działania przestępców.
Ze względu na trudność prowadzenia śledztwa oraz wymiar międzynarodowy Tomasz S. stanął przed sądem królewskim w Croydon dopiero po dwóch latach.