Uit het onderzoek van de Volkskrant bleek dat de hack veel ernstiger was dan bekend. Russische aanvallers hadden zeker vier maanden lang ‘ongeoorloofde toegang tot kennis van covid 19-vaccins en persoonlijke correspondentie’. Nederlandse rechercheurs ontdekten dat de Russische hack begon bij twee inhuurkrachten van de EMA. Beiden werkten voor het Griekse ICT-bedrijf UniSystems, dat zijn diensten aanbiedt aan veel meer Europese organisaties. Maar de Griekse politie werkte nauwelijks mee aan het strafrechtelijk onderzoek en het spoor liep daarom dood.
De rechercheurs lieten het er niet bij zitten en stelden een noodkreet op om Europese instellingen in beweging te krijgen en alsnog onderzoek te doen in Griekenland. Zij waarschuwden dat het gevaar vanuit Rusland niet geweken was. Maar er gebeurde niets. De politie kreeg geen reactie op de zorgvuldig opgestelde waarschuwing.
Het journalistieke onderzoek duurde vier jaar. Het is gebaseerd op vertrouwelijke documenten, mails tussen politierechercheurs en ambtenaren, vele gesprekken met betrokkenen, gelekte informatie en een interne noodkreet van de Nederlandse politie. Het laat zien dat er werd gelogen over de ernst van de hack en dat Europa tekortschoot in het effectief onderzoeken van Russische spionage. De beveiliging van Europese instellingen bleek niet op orde. Het Russische gevaar dat door het Nederlandse Team High Tech Crime werd geïdentificeerd, kon niet worden weggenomen.
