nhắm tới những cơ quan chính phủ và những mục tiêu có giá trị cao trên thế giới trong 9 năm qua .

Các nhà nghiên cho biết nhóm này đã dùng mã độc có khả năng gián điệp như Keylogger , đánh cắp tài liệu từ máy tính bị lây nhiễm , thu thập mật khẩu và những file Cookie của trình duyệt  . Tất cả dữ liệu được tải tới máy chủ CnC . Palo Alto nói rằng những máy chủ này đặt tại Iran .

Họ cũng phát hiện ra những phiên bản khác nhau của cùng loại mã độc , có tên Infy , xuất hiện từ năm 2007 , nhưng cùng máy chủ CnC liên hệ tới những hoạt động độc hại hoạt động từ năm 2004 . Không rõ hoạt động độc hại này gây ảnh hưởng như thế nào trong mọi chiến dịch do thám mạng .

Mặc dù nhóm do thám mạng này đã hoạt động trong thời gian dài , các nhà nghiên cứu nói rằng nhiều công ty  an ninh đã phải vất vả để kết nối những phiên bản mã độc Infy khác nhau , mỗi bản có vai trò khác nhau dùng trong những tình huống khác nhau .

Nhóm tin tặc này đã dùng Infy nhằm vào những mục tiêu hạn chế , thường tấn công vào khoảng thời gian nhất định , chống lại những cơ quan chính phủ , hoặc những nhân viên ở những công ty  nào đó , và cũng chống lại công dân Iran .

Trên thực tế , Palo Alto cũng phát hiện ra những hoạt động APT của người Iran sau khi phát hiện ra 3 bức thư trong tháng 5/2015 có chứa file đính kèm để lây nhiễm Infy .

Những kẻ tấn công đã xâm nhập được tài khoản Gmail được một số cơ quan Israel sử dụng và dùng nó để gửi Email có file Word và PowerPoint độc hại tới những tổ chức công nghiệp của Israel . Những email tương tự cũng được gửi tới văn phòng chính phủ Mỹ .

Các chuyên gia bắt đầu điều tra từ những cuộc tấn công ban đầu này và nhận định nhóm tin tặc trên đã quay trở lại sau gần 10 năm , và mới đây là xuất hiện trở lại trong tháng 4/2016 .

Palo Alto nhận xét “ Những chiến dịch tấn công rất hạn chế thường giấu mặt trong nhiều năm “.