De Stuxnetworm had vijf organisaties als doelwit, waar het in totaal 12.000 systemen infecteerde. Dat blijkt uit een bijgewerkt rapport dat Symantec over de worm heeft gepubliceerd. Drie organisaties werden eenmaal aangevallen, een twee keer en de laatste zelfs drie keer. De aanvallen vonden plaats in juni 2009, juli 2009, maart 2010, april 2010 en mei 2010. Alle organisaties hadden één of meerdere vestigingen in Iran.

Symantec kreeg bij het onderzoek naar de worm hulp van ESET, F-Secure, Kaspersky Labs, Microsoft, McAfee en Trend Micro. De anti-virusbedrijven deelden alle gevonden exemplaren met elkaar, waardoor er een beter beeld van de omvang van de infectie werd verkregen. In totaal zijn er 3280 unieke exemplaren ontdekt, die bij elkaar 12.000 machines infecteerden.

Volgens Symantec zijn er zeker drie varianten (juni 2009, april 2010 en maart 2010) en bestaat er mogelijk zelfs een vierde variant. Die is echter nooit gevonden. De variant van maart 2010 was het succesvolst en voor 69% van de infecties verantwoordelijk.

Sabotage
De onderzoekers ontdekten verder dat Stuxnet over twee sabotage strategieën beschikte, ook wel code 315 en code 417 genoemd, maar dat code 417 was uitgeschakeld. Aangezien de code niet compleet is en staat uitgeschakeld, is onduidelijk wat het precieze doel was. Het is volgens Symantec zeker een tweede, onafhankelijke aanvalsstrategie.

Deze code verwacht zes groepen van 164 apparaten. De groepen moeten bij elkaar 297 dagen actief zijn, of 35 dagen voor een enkele groep, voordat de sabotage-routine begint. Vervolgens zouden 110 van de 164 apparaten worden gesaboteerd. Deze sabotage-routine zou zeven minuten duren.