2017年6—9月间，公安机关陆续将11名犯罪嫌疑人抓获。侦查发现，“暗夜小组”成员为逃避打击，在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理。“暗夜小组”成员到案后大多作无罪辩解。有证据证实丁虎子等人实施了远程控制大量计算机的行为，但证明其将控制权出售给“暗夜小组”用于DDoS网络攻击的证据薄弱。

鉴于此，深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题，建议公安机关重点做好以下三方面工作：一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系。具体包括：对被害单位提供的受攻击IP和近20万个攻击源IP作进一步筛查分析，找出主要攻击源的IP地址，并与丁虎子等人出售的控制端服务器IP地址进行比对；查清主要攻击源的波形特征和网络协议，并和丁虎子等人控制的攻击服务器特征进行比对，以确定主要攻击是否来自于该控制端服务器；查清攻击时间和云服务器因被攻击无法为三家游戏公司提供正常服务的时间；查清攻击的规模；调取“暗夜小组”实施攻击后给三家游戏公司发的邮件。二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作，并查清“暗夜小组”各成员在犯罪中的分工、地位和作用。三是查清犯罪行为造成的危害后果。

（二）审查起诉

2017年9月19日，公安机关将案件移送广东省深圳市南山区人民检察院审查起诉。鉴于在案证据已基本厘清“暗夜小组”实施犯罪的脉络，“暗夜小组”成员的认罪态度开始有了转变。经审查，全案基本事实已经查清，基本证据已经调取，能够认定姚晓杰等人的行为已涉嫌破坏计算机信息系统罪：一是可以认定系“暗夜小组”对某互联网公司云服务器实施了大流量攻击。国家计算机网络应急技术处理协调中心广东分中心出具的报告证实，筛选出的大流量攻击源IP中有198个IP为僵尸网络中的被控主机，这些主机由14个控制端服务器控制。通过比对丁虎子等人电脑中的电子数据，证实丁虎子等人控制的服务器就是对三家游戏公司客户端实施网络攻击的服务器。分析报告还明确了云服务器受到的攻击类型和攻击采用的网络协议、波形特征，这些证据与“暗夜小组”成员供述的攻击资源特征一致。网络聊天内容和银行交易流水等证据证实“暗夜小组”向丁虎子等三人购买上述14个控制端服务器控制权的事实。电子邮件等证据进一步印证了“暗夜小组”实施攻击的事实。二是通过进一步提取犯罪嫌疑人网络活动记录、犯罪嫌疑人之间的通讯信息、资金往来等证据，结合对电子数据的分析，查清了“暗夜小组”成员虚拟身份与真实身份的对应关系，查明了小组成员在招募人员、日常管理、购买控制端服务器、实施攻击和后勤等各个环节中的分工负责情况。