Pierwsze informacje o ataku opublikował producent oprogramowania antywirusowego Kaspersky Lab, nazywając tę kampanię kryptonimem "Red October" - "Czerwony Październik". Atak ten trwał co najmniej pięć lat. Dochodzenie rozpoczęte w październiku ubiegłego roku doprowadziło do odkrycia internetowej siatki szpiegowskiej.

Według ekspertów z Kaspersky Lab (a także zespołów CERT w USA, Rumunii i Białorusi), wykryta kampania szpiegowska nadal jest aktywna. Po zastosowaniu technologii sinkholing od początku listopada do ubiegłego tygodnia włącznie do leja udało się zassać ponad 55 tys. połączeń z 250 różnych adresów IP w większości ze Szwajcarii, Kazachstanu i Grecji. Wszystkie ataki były starannie dopasowane do specyfiki ofiar, wykorzystano przy tym eksploity pochodzące z Chin, a większość oprogramowania napisali twórcy o rosyjskojęzycznych korzeniach (świadczą o tym informacje zapisane w kodzie).

Cyberprzestępcy kradli dokumenty biurowe, ale byli zainteresowani także plikami zawierającymi klucze lub zaszyfrowane wiadomości, a także dokumenty zaszyfrowane narzędziem Acid Cryptofiler stosowanym od 2011r. w organizacjach NATO, Unii Europejskiej, Parlamentu Europejskiego oraz Komisji Europejskiej w celu ochrony poufnych informacji (są to pliki o rozszerzeniu takim jak acidcsa, acidsca i inne). Informacje były kradzione nie tylko ze stacji roboczych, ale także z urządzeń mobilnych (iPhone, Nokia, Windows Mobile), wykonywano zrzut konfiguracji sprzętu sieciowego Cisco, przejmowano pliki z dysków wymiennych, włącznie z odzyskiwaniem plików skasowanych, pozyskiwano wiadomości z folderów Outlooka, zdalnego serwera POP3/IMAP oraz pliki z lokalnych serwerów FTP.

Aby przetrwać wyczyszczenie zarażonego systemu, złośliwe oprogramowanie zostało wyposażone w unikatowy moduł umieszczony jako wtyczka Microsoft Office i Adobe Reader, który umożliwi ponowne przejęcie kontroli w przypadku usunięcia głównego składnika.

W ciągu kilku miesięcy specjaliści Kaspersky Lab naliczyli kilkaset zakażeń na całym świecie. Wszystkie z nich miały miejsce w bardzo ważnych lokalizacjach, takich jak sieci rządowe i instytucje dyplomatyczne, w większości w krajach Europy Wschodniej. Polska obok Rumunii jest jedynym krajem z tego regionu Europy, w którym infekcji nie odkryto, przy czym może to oznaczać, że nie było ich w ogóle, albo to, że na polskich komputerach w takich instytucjach nie stosowano oprogramowania antywirusowego firmy Kaspersky Lab z włączoną opcją Kaspersky Security Network (KSN). Nieoficjalnie mówi się, że instytucje rządowe w Polsce nieufnie traktują oprogramowanie antywirusowe firmy Kaspersky Lab, a wiadomo, że w skrzynkach niektórych polskich instytucji znalazły się wiadomości z eksploitem.