Serwery zostały uruchomione w marcu i maju i już po kilku godzinach były gotowe do działania. Służyły one do kontrolowania przynajmniej kilkuset komputerów przez kilka tygodni. Serwer uruchomiony w marcu już po pierwszym tygodniu działania zebrał ponad 6GB danych z zainfekowanych Flamerem komputerów. Dla porównania drugi z serwerów zebrał jedynie 75MB informacji i wykorzystywany był wyłącznie do wysyłania poleceń do zainfekowanych komputerów. Najważniejsze ustalenia, jakie wynikły z obserwacji tych serwerów to:
- Złośliwe oprogramowanie wykorzystywane do tych ataków było przygotowywane już od 2006 r.
- Prawdopodobnie serwery były wykorzystywane również do ataków niezwiązanych z Flamerem.
- Atakujący dbali o własne bezpieczeństwo – szyfrowali skradzione dane oraz wymazywali w regularnych odstępach czasu informacje na temat swojej działalności
- Podział grupy zajmującej się atakami na trzy stopnie wtajemniczenia i podejmowane zadania wskazuje na to, że grupa musiała być dobrze zorganizowana i sowicie opłacana. Rolą administratorów było uruchomienie serwerów, operatorzy mieli za zadanie (za pośrednictwem panelu sterowania) wysyłanie pakietów informacji do zainfekowanych komputerów i ściąganie z nich skradzionych danych, napastnicy jako jedyni posiadali klucze do odczytania skradzionych danych.
