Après sa sortie de prison, le FBI a essayé de garder un oeil sur Mitnick.
En décembre 1994, un pirate attaque les ordinateurs de Tsutomu Shimomura, expert en sécurité, qui est travaille maintenant pour les autorités.
Le pirate a utilisé une technique qui, à l'époque des faits, était connue en théorie ... mais son application pratique n'avait jamais été réalisée.
La veille vers 22h : plusieurs sondages en provenance de csn.org (Colorado SuperNet) et plusieurs tentatives d'intrusion qui avaient échoué. Puis deux tentatives d'intrusion provenant d'adresses au nom douteux (wiretap-spies.com, suspects.com)
14h09 : ARIEL est sondé (à l'aide de l'instruction finger -1 @ariel.sdsc.edu). L'ordinateur renvoie des informations : ARIEL est actuellement connecté à ASTARTE, RIMMON, et OSIRIS.
14h09 à 14h11 : six nouveaux sondages visant différents aspects du réseau sont effectué.
14h11 : procédure de télécommande sur OSIRIS.
14h18 : demande de connexion extérieure pour RIMMON (provenant de 130.92.6.97) en utilisant la requête SYN (synchronisation)
plusieurs autres demandes successives
14h18 : SYN adressé à OSIRIS par un ordinateur identifié par l'adresse appolo.it.luc.edu
1. un SYN est envoyé à OSIRIS. Il est accompagné d'un numéro d'ordre afin d'établir le contact
2. OSIRIS accuse réception du message en renvoyant un SYN-ACK
3. Mais au lieu de répondre par un 3ème numéro d'ordre la machine du pirate donne l'instruction RST (reset) et recommence l'opération une vingtaine de fois !