jejeje... bueno, "tan hábiles" no serían, ya que:
-El acceso inicial parece que se realizó mediante claves SSH legítimas que fueron robadas de usuarios que tenían acceso al sistema
O sea, tenían las claves, lo mismo era alguien descontento que quería vengarse