Odkritje zlonamernega programa Flame v maju 2012 je razkrilo najkompleksnejšo kiber orožje do sedaj. V času odkritja ni bilo nobenih povezav, ki bi nakazovale, da je bil Flame ustvarjen s strani iste razvojne ekipe, ki so ustvarili Stuxnet in Duqu. Prav tako je bil pristop k razvoju Flamea drugačen kot tisti pri Stuxnetu in Duquju, kar je vodilo do spoznanja, da so bili zlonamerni programi ustvarjeni s strani različnih avtorjev. Kljub temu je nadaljnja globlja analiza strokovnjakov Kaspersky Laba pokazala, da so avtorji sodelovali vsaj enkrat med začetnimi fazami razvoja zlonamernih programov.

Dejstva
• Kaspersky Lab je odkril, da je programska komponenta starejše verzije Stuxneta iz leta 2009 poznana kot Vir 207, dejansko vstavek Flamea.
• Slednje dokazuje, da je ob razvoju Stuxnetovega črva, ki je bil ustvarjen v letu 2009, Flameova platforma že obstajala, in da je v letu 2009 izvorna koda vsaj ene programske komponente Flamea bila uporabljena v Stuxnetu.
• Programska komponenta je bila uporabljena za širjenje virusa preko USB diskov. Koda virusa USB diskov je identična v Flameu in Stuxnetu.
• Flameova programska komponenta vgrajena v Stuxnet je razkrila prej nepoznano ranljivost, katera je omogočala večjo stopnjo dostopnosti, verjetno MS09-025.
• Posledično, je bil Flameov vstavek programske komponente odstranjen iz Stuxneta v letu 2012 in zamenjan z številnimi drugimi programskimi komponentami, ki so izkoristile nove ranljivosti.
• Od leta 2012 sta obe razvojni ekipi delovali samostojno, s tem da je edino sumljivo sodelovanje potekalo v obliki izmenjave znanja o ranljivostih »zero day«

Ozadje
Stuxnet je bilo prvo kiber orožje usmerjeno zoper industrijske subjekte. Dejstvo, da je Stuxnet okužil tudi osebne računalnike po celem svetu je botrovalo k njegovemu odkritju v juniju leta 2010, čeprav je bila starejša verzija zlonamernega programa ustvarjen eno leto prej. Naslednji primer zlonamernega programa, sedaj poznanega pod imenom Duqu, je bil odkrit v septembru leta 2011. Za razliko od Stuxneta, je bila glavna naloga Duqu Trojana, da služi kot stranska vrata okuženim sistemom in da krade zaupne podatke (kiber vohunjenje).

Med analizo Duquja so bile odkrite močne podobnosti z Stuxnetom, ki so razkrile, da sta bila oba kiber orožja razvita z uporabo iste platforme napada poznane kot »Tilded Platform«. Ime izvira iz preference ustvarjalcev zlonamernih programov za imena datotek v obliki “~d*.*” zato, »Tilde-d« Flame odkrit v maju 2012, kot posledica raziskave spodbujene s strani Mednarodnega telekomunikacijskega združenja (ITU) in opravljene s strani Kaspersky Laba, je bil na prvi pogled popolnoma drugačen. Nekatere lastnosti, kot na primer velikost zlonamernega programa, uporaba LUA programskega jezika in njegova raznolika funkcionalnost je nakazovala na to, da Flame ni povezan z Duqujevimi ali Stuxnetovimi razvojnimi ekipami. Vendar pa so na novo odkrita dejstva popolnoma spremenila zgodovino Stuxneta in dokazala brez dvoma, da je »Tilded« platforma povezana z Flameovo platformo.

Nova odkritja
Najstarejša poznana različica Stuxnetaa, ki naj bi bila ustvarjena v juniju leta 2009, vsebuje posebno programsko datoteko poznano pod imenom »Vir 207«. V kasnejši verziji Stuxneta je bila ta programska komponenta popolnoma odstranjena. Programska komponenta »Vir 207« je šifrirana DLL datoteka, ki vsebuje izvršilno datoteko v velikosti 351,768 bitov z imenom “atmpsvcn.ocx”. Ta specifična datoteka, kot je razkrila raziskava Kasperksy Laba, ima veliko skupnega s kodo uporabljeno v Flameu. Seznam presenetljivih podobnosti vključuje imena algoritmov uporabljenih za dešifriranje nizov in podoben pristop k poimenovanju datotek.

Poleg tega, je večji del kode enak ali podoben tistim v Stuxnetovi in Flameovi programski datoteki, kar je privedlo do spoznanja, da je bila izmenjava informacij med razvojnimi ekipami Flamea in Duqu/Stuxneta izvedena preko izvorne kode (in ne v obliki binarnega zapisa). Primarna funkcija Stuxnetove »Vir 207« programske komponente je bila v distribuciji virusa iz ene naprave na drugo z uporabo odstranljivega USB gonilnika in z izkoriščanjem ranljivosti v jedru Windowsov glede pridobivanja višje stopnje dostopnostiv sistemu. Koda, ki je bila odgovorna za distribucijo zlonamernega programa preko uporabe USB gonilnikov je popolnoma enaka tisti uporabljeni v Flameu.