Очень странный взлом сайта

Я админ достаточно крупного тематического украинского сайта некоммерческой тематики, никому нафиг не нужной. Вчера, 26 числа заметил, что Сапа не приносит денег. Но ссылки стоят корректно. Начали копать — накопали клоакинг, модицифирующий результирующий html код страницы после всех его генераций. В результате ссылки роботу Сапы, а также роботам Гугла и Яндекса передавались с nofollow. И увидеть это можно только роботам с соответствующим юзер агентом и айпишником — люди видят нормальный код. Взлом осуществлен профессионалом. Данные для базы клоакинга (юзерагенты и айпи) забираются с левого сайта (тоже взломан судя по всему). Вредоносные файлы залиты не по ftp, а кусками кода, внедренного в существующие скрипты и в последствии затертого. Даты файлов при этом заменены на старые. Характерно, что злоумышленник неплохо разобрался в коде и вставил код (очень тщательно замаскировав) и в самописный движок сайта и в форум phpbb.
Расследование еще ведем, но главные вопросы топика. Кому и зачем это было нужно(тупо закрыть все исходящие ссылки на сайте)? Сталкивался ли кто-то с таким?