その上、攻撃者はコード全体に、研究者を間違った方向に誘導するために用意された偽の情報を埋め込んでいた。
例えば、ドライバの1つには「ugly.gorilla」(醜いゴリラ)という文字列が埋め込まれていた。これはある中国人ハッカーを指していると思われるが、同社によれば、別の煙幕として、中国のグループのものと考えられているマルウェアで過去に使われた暗号が、目立たないレベルで使われているという。また、追跡者を惑わせようとする別の試みとして、「romanian.antihacker」(ルーマニア人アンチハッカー)という文字列も含まれていた。これは、東ヨーロッパ人に罪を着せようとしているものかもしれない。
同社の分析では、オリジナルのDokuの攻撃者はGMT+2またはGMT+3のタイムゾーンで作業をしていたと考えられ、「一部のプロキシで収集されたログは、攻撃者が金曜日にはあまり働かず、土曜日にはまったく働かないが、日曜日から通常業務を始めていると見られることを示している」という。これは、マルウェア作者がイスラエルに拠点を置いていることを意味している。
これに対し、Dokuの新バージョンをベースにした新たな攻撃では、追跡者が得ることができた痕跡はずっと少なかった。すべてのタイムスタンプが修正され、デバッグパスやプラグインの内部モジュール名もすべて削除されていたため、犯人特定はずっと難しくなっている。
イランの核問題交渉の際に会場を提供したホテルのネットワークでも同じマルウェアが見つかったことから、これもイスラエルの支援を受けたグループのものだという可能性はあるが、これだけでは確実と言うにはほど遠い。
「もっとも可能性が高いのは、犯人が同じであるか、以前の犯人がコードをほかの組織か国と共有したということだ」とKaspersky氏は言う。
ハッカーの追跡は興味深い読み物になるため、セキュリティ企業はその成果を公表したがる。しかし、攻撃者もセキュリティ企業が公表する情報を監視しており、その情報に基づいて対応を変える。
Symantecが政府機関や大使館を標的にしたWaterbugのグループによって使用されたマルウェアの詳細を公表したところ、同グループはマルウェアを違う種類のものに切り替えた。「つまり、彼らはセキュリティ企業が発表する情報に注目しているということだ」とNeville氏は言う。
Oppenheim氏にも同様の経験がある。APT 12と呼ばれる中国のハッカーグループについての情報を公表すると、「その後数日で彼らはマルウェアと制御インフラを変更した」という。
同氏は次のように付け加えた。「攻撃を行っている側と、守る側のオペレーターの間では常にやりとりがある。攻撃側は次のプレイを決められるため、常に有利な立場にある。防御側は常にそれに反応する側にならざるを得ない」