A Symantec legújabb elemzése szerint a Flame és Flamer néven emlegetett vírus legalább öt éve tevékenykedik és 10 ezer rendszert fertőzött meg a Közel-Keleten. Úgy tűnik, egyetlen gépről irányították. Két, a Kaspersky Lab által felfedezett irányítószerver tanulmányozásából a német CERT-csapat kiderítette, hogy a virus ezer rendszert támadott meg márciusban, és hat gigabájtnyi adatot rongált meg nyolc nap alatt, egy hónappal azelőtt, hogy Iránban felfedeztek.
A Symantec elemzése szerint a virus egyszerre akár négy különböző ügyféllel is tudott kommunikálni, ezért valószínűleg a már megtalált Flame-n kívül még három testvérvírus létezhet. „Nem tudjuk pontosan, milyen a többi klienstípus, de a kód alapján mindenképpen többre képesek, mint amit ma a Flamerről tudunk” –mondta Vikram Thaku, a Symantec vezető biztonsági kutatója.
Az elemzés nem közöl részleteket az ártalmas program eredetéről, de azt egyértelműsíti, hogy csak állami támogatással készülhetett, mivel az általa használt Newsforyou nevű kommunikációs rendszernek köszönhetően az hitelesítették az adatforgalmát.
A vírust legalább négy (D, H, O és R monogramú) ember készítette, 2006 december és 2007 szeptembere között – ez alapján a vírus jóval régebbi, mint ahogy azt korábban gondolták. A program webes felületét híroldalnak álcázták és feltöltés, letöltés, kliens és hír szavakat használtak például botnet, virus és hasonlók helyett. A szakértők úgy gondolják, ezt azért csinálták, hogy megtévesszék az esetleges ellenőrzéseket végző rendszergazdákat.
A Flame-et több korábbi vizsgálat a Stuxnettel rokonítja, amelyet arra terveztek, hogy adatokat, jelszavakat gyűjtsön, hang és képfelvételeket készítsen a megfertőzött rendszerekől. Azóta már az is kiderült, hogy az Amerikai Egyesült Államok is Izrael fejlesztette ki iráni nukleáris erőművek ellen.