Do niedawna wydawało się, że Stuxnet zaczął być używany do działań operacyjnych pod koniec 2008 r., krótko przed tym jak Bush wydał formalną zgodę na taką operację. Oznaczałoby to, że "kariera" robaka trwała niewiele ponad pół roku - bo wiadomo, że Stuxnet przestał infekować komputery na początku lipca 2009 r. Dodajmy, że cała ta operacja hakerska została wykryta dopiero rok później.

Z najnowszych analiz przeprowadzonych przez specjalistów z Symantec wynika jednak, że terminarz ten wyglądał zupełnie inaczej. Twierdzą oni, że wczesne wersje tego programu były aktywne w irańskich systemach informatycznych co najmniej rok wcześniej, czyli w roku 2007.

Owo wstępne wydanie również było arcydziełem sztuki hakerskiej - z analizy dowiadujemy się, że wczesny Stuxnet potrafił infekować kontrolery PLC i za ich pomocą modyfikować ustawienia wirówek do wzbogacania uranu (tak, by uległy one uszkodzeniu). Co więcej, w czasie tych działań Stuxnet fałszował odczyty z sensorów - tak, by osobom kontrolującym cały proces wydawało się, że wszystkie parametry pracy wirówek są w normie.

Ta wersja skonfigurowana była tak, by atakowana była tylko jedna, konkretna instalacja - zlokalizowana w irańskim mieście Natanz (Stuxnet uaktywniał się tylko wtedy, gdy wykrył konkretne zespoły wirówek - tzw. kaskady - połączone ze sobą na ściśle określonych zasadach, dokładnie takich, jak w Natanz). Szkodnik potrafił też sam ocenić, które urządzenia powinny zostać zaatakowane w pierwszej kolejności, aby zmaksymalizować straty.

Symantec opisał również osiem faz działania Stuxneta w zainfekowanym systemie informatycznym:

Faza 0 - identyfikowanie celu i oczekiwanie na rozpoczęcie procesu wzbogacania materiału radioaktywnego (ten etap mógł trwać do 30 dni)

Faza 1 - rejestrowanie danych z otoczenia - zbieranie informacji o konfiguracji sprzętowej, peryferiach

Faza 2 - atak na główne zawory wirówek

Faza 3 - odczytanie danych o ciśnieniu w wirówkach i manipulowanie zaworami tak, by odczyty kontrolne wskazywały poprawne wartości

Faza 4 - oczekiwanie na zmianę ciśnienia (mogła trwać do dwóch godzin)

Faza 5 - atak na zawory pomocnicze

Faza 6 - oczekiwanie na wykonanie pełnej sekwencji ataku

Faza 7 - koniec. Reset i powrót do Fazy 0.

Jeśli wszystkie powyższe sekwencje zostały wykonane poprawnie, efektem był nawet pięciokrotny wzrost ciśnienia w wirówkach, co mogło skutecznie uszkodzić urządzenia oraz zakłócić proces wzbogacania materiału radioaktywnego.