Celem są ministerstwa, ambasady, parlament, firmy zbrojeniowe. W Polsce ataki trwają już od 2009 r. Obejmują także kraje – Czechy, Ukrainę, Kazachstan, Gruzję, Azerbejdżan, Kirgistan, Uzbekistan. Atakowano także indywidualne osoby m.in. na w Hiszpanii, Belgii, Luksemburgu. Włamywacze wykradają informacje dotyczące polityki obronnej i zagranicznej państw. Stosowali prostą metodę – zwykle wysyłali do adresatów e-maile z zawirusowanymi załącznikami w plikach Word lub PDF. Najczęściej po włamaniu szybko wykradali jak największą ilość danych, co jest działaniem stosunkowo łatwym do wykrycia (sposób „rozbij i łap”). Gdy jednak natrafili na cenne informacje, bardziej starali się ukryć swoją obecność.

Według F-Secure jest kilka elementów, które wskazują, że hakerzy pracują dla rosyjskich władz (określa się ich mianem 'Diuków’). Są to metody ataku, cele (nigdy nie atakowali Rosji, powiązanych z nią instytucji, firm) i skala działań. Świadczy o tym, że włamywacze dysponują rozbudowaną infrastrukturą i sporymi zasobami. Ponadto niezbyt dyskretne metody ataku sugerują, że nie przejmują się tym, że zostaną wykryci, więc prawdopodobnie są przekonani o swojej bezkarności. Stwierdzono także, iż hakerzy uaktywniali się w godzinach pracy biurowej czasu moskiewskiego (9-17).