S překvapivým závěrem přišli vědci společnosti Kaspersky Lab, kteří mají k dispozici několik vzorků viru Duqu od súdánských výzkumníků. Díky jejich analýze zjistili, že jeden z ovladačů používaných při útocích byl vytvořen již v srpnu 2007. Podle Roela Schouwenberga, vedoucího vědeckého pracovníka v Kaspersky Lab, je přitom velmi pravděpodobné, že autoři tohoto ovladače stojí zároveň i za červem Duqu, protože nikde jinde nebyl ovladač spatřen. Staršího data je navíc i několik dalších souborů. Podle vědců došlo k jejich vytvoření někdy v únoru 2008.
Ačkoliv jsou tyto soubory staré i několik let, k prvním útokům podle všeho došlo teprve v dubnu letošního roku. Stát se tak mělo právě v Súdánu. Vědci z Kaspersky Lab zjistili, že se útoky uskutečnily 17. a 21. dubna a jejich cílem byla zařízení s operačním systémem Windows. První útok se prý ještě nezdařil, protože emaily obsahující infikované dokumenty byly zachyceny spamovým filtrem. Druhý útok už byl ale úspěšný.
Dalším pozoruhodným objevem výzkumníků z Kaspersky Lab je také skutečnost, že červ Duqu obsahoval kromě starších nástrojů i skupinu souborů vytvořených krátce před provedením samotného útoku. „Rozdíly jsou sice velmi malé, nicméně jde o jedinečné soubory šité na míru každé operaci,“ řekl Schouwenberg. „Každý útok měl svůj vlastní C&& (command-and-control) server, jehož poloha byla uložena do souborů. Je tedy jasné, že nejde o žádné amatéry.“
Třebaže se nejnovější analýza v mnoha ohledech liší od studií vypracovaných ostatními bezpečnostními firmami, jako třeba té od Symantecu, Schouwenberg v tom žádný problém nevidí. „Každá firma má různé klienty a různé kontakty,“ říká. Výzkumníci se navíc o své vzorky neradi dělí, takže Kaspersky Lab prostě jen našel starší kód. Podle Symantecu navíc existuje několik variant Duqu, takže opravdu nejde o nic překvapivého.