Napadené počítače umožnily zločincům ukrást podle odhadů deset miliard korun tím, že řídícím serverům odesílaly informace o uživatelských jménech a heslech pro přístup k on-line bankovnictví. Americká FBI a policie v několika desítkách zemí odpojily servery, ze kterých zločinci napadené počítače ovládali.
Microsoft se na škodlivý software Citadel zaměřil poté, co vyšlo najevo, že pro své šíření používá pirátské verze Windows s podvodně získanými licenčními klíči. Část lidí ani nemusela vědět, že instaluje nelegální kopii. S postupem času Citadel začal využívat i komplikovanější způsoby, jako jsou podvodné e-maily lákající uživatele ke spuštění přílohy nebo napadení legálních webových stránek a přesměrování uživatelů na stránky se škodlivým softwarem.
Vyšetřovatelé Microsoftu zjistili, že kromě autora softwaru Citadel, který je známý pouze pod přezdívkou Aquabox, se na správě celého systému podílelo dalších 81 podezřelých.
Citadel je velice propracovaný škodlivý kód, který si mohou lidé napojení na komunitu internetových zločinců pronajmout za měsíční poplatek v řádu desítek tisíc korun. Autor malwaru svůj produkt v průběhu několika měsíců neustále vylepšoval tak, že například v novějších verzích uživatelům podsouval falešné stránky pro přihlášení k bankovním účtům na webech finančních ústavů a napadeným počítačům bránil v aktualizaci antivirových systémů. Chránil se tak před případným odhalením.
