Vụ tấn công bắt đầu từ việc tin tặc xây dựng "cửa sau" để qua đó họ có thể tùy ý vào lại hệ thống đã xâm nhập và lấy cắp thêm dữ liệu; họ cũng để lại các công cụ định tuyến lưu lượng truy cập mạng cụ thể thông qua Nga. Mọi thứ họ khai thác được trong các cuộc tấn công đều là các tài nguyên có sẵn công khai, không phải do họ tự tạo ra.[5] Trong hầu hết các trường hợp, việc khai thác được quản trị viên hệ thống phát hiện với mục đích thông báo cho chủ sở hữu về các lỗ hổng có trong hệ thống của họ, nhưng thay vào đó những lỗ hổng ấy lại bị sử dụng cho mục đích xấu.[5] Các tin tặc đã thành công đánh cắp thông tin vì nhà sản xuất và người bảo trì phần mềm không thận trọng trong việc đảm bảo không có sai sót trong hệ thống của họ. Sự chủ quan này là do trước khi chiến dịch Moonlight Maze nổ ra, rất ít người nhận thức được thiệt hại có thể xảy ra từ các cuộc tấn công mạng, do internet ở thời điểm này vẫn còn tương đối mới lạ. Do đó, dữ liệu lưu trữ trên mạng internet cực kỳ dễ bị công kích và không khó để xâm nhập, dẫn đến một trong những vụ rò rỉ dữ liệu mật lớn nhất trong lịch sử. Để che giấu vị trí của họ và đánh lạc hướng các nhà điều tra, tin tặc đã chuyển tiếp kết nối của họ qua nhiều tổ chức khác nhau dễ bị tấn công như trường đại học, thư viện, v.v. vì các máy chủ mà họ tấn công chỉ có thể điều tra ra được vị trí cuối cùng mà họ đã định tuyến qua (được gọi là ủy quyền).