Chociaż część złośliwego kodu poznano w 2009 r. dzięki raportom z hostowych narzędzi ochrony systemu (HIPS), dopiero analiza zebranych z botnetu informacji umożliwiła oszacowanie skali ataków. Niekiedy nawet nie było możliwe dokładne określenie sfery zainteresowań włamywaczy, ale w każdym przypadku występował jeden wspólny mianownik - były to działania, które miały na celu pozyskanie konkretnych zasobów z wybranej firmy. Korzystano także ze specjalnie dopracowanych narzędzi zdalnego dostępu, strojonych pod kątem minimalizacji wykrywania przez oprogramowanie ochronne. Botnet ten nie był współdzielony z innymi, nie korzystano z powszechnie znanych narzędzi kradzieży informacji (np. z popularnego oprogramowania ZeuS/Zbot).

Rolf Haas, główny inżynier bezpieczeństwa systemów z firmy McAfee, mówi: "Informacje o atakach udało się zebrać, gdy zalogowaliśmy się do serwera kontrolującego botnet. Następnym krokiem była analiza dostępnych informacji w firmach, na które wskazywały dane z botnetu. Nie poznaliśmy wszystkiego, ale w niektórych firmach wiemy, co mogło być skradzione. Należy podkreślić, że w każdej organizacji włamywacze szukali czego innego, w jednym przypadku były to pliki dla systemów SCADA, w innym dokumenty biurowe związane np. z informacjami MKOl na temat krajów kandydujących do organizacji Igrzysk Olimpijskich".