Las capturas se produjeron en España, donde la Guardia Civil de este país, en colaboración con el FBI estadounidense, detuvo a tres españoles implicados en el hecho. Las autoridades aseguran que habría una cuarta persona involucrada, de nacionalidad venezolana e identificada como Fénix.

Los delincuentes fueron identificados por su edad y el nombre que usaban para identificarse en Internet: 'Netkairo', de 31 años; 'Jonyloleante', de 30 años; y 'Ostiator', de 25 años.

Mariposa, según expertos, es una de las redes de computadores 'zombies' -también llamadas 'botnets'- que más alcance ha tenido dado el número de equipos afectados: 12,7 millones. Entre las máquinas infectadas, repartidas en más de 190 países, se encontraban muchas de usuarios de hogar, al igual que computadores pertenecientes a más de la mitad de empresas incluidas en la lista de las compañías más importantes según la revista Fortune. Así mismo, equipos de 40 instituciones financieras destacadas en el mundo.

Las 'botnets' son redes de computadores infectados con virus que piratas informáticos secuestran a su propietario, por lo general sin que este se dé cuenta, y utilizan a su antojo. Al funcionar todos juntos, los equipos proveen una gran capacidad de cómputo a personas que envían correos basura (spam), aquellos que roban información por la Red y a los que realizan ataques por Internet.

Según Juan Salom, responsable de la investigación en España, el encargado de Mariposa era un pequeño delincuente que no tenía un elevado nivel de vida y que vivía de esta actividad, alquilando el servicio con fines delictivos, sin ser consciente del potencial perjuicio que causaba.

Con esta red se podría haber realizado un ataque de ciberterrorismo muy superior a los que se presentaron contra Estonia o Georgia, según un comunicado de la Guardia Civil española. Además, expertos afirman que Mariposa era, de lejos, mucho más sofisticada que la 'botnet' empleada para atacar a Google y que supuso una disputa entre esta compañía y el gobierno chino.

Mariposa fue detectada en mayo del 2009 por técnicos de la empresa canadiense Defence Intelligence. El FBI estadounidense empezó entonces su investigación y descubrió que un ciudadano español estaría implicado, tras lo cual el caso pasó a la Guardia Civil.

La red fue bloqueada en diciembre del 2009. Después de esto, Defence Intelligence sufrió un ciberataque, que la Guardia Civil considera una venganza por parte de los delincuentes.