هکرهای پشت پرده ماجرای جاسوسی سایبری گوگل و 30 شرکت دیگر در سه سال پیش هنوز با قوت به کار خود ادامه می­‌دهند و به نظر می‌­رسد که انبار کاملی از این اسلحه‌­ها را در زرادخانه خود دارند و آنها را به شکل آسیب‌پذیری‌های نادر اصلاح‌نشده، تحت نام "روز صفر" (Zero-Day) به روز کرده اند.

این گروه در حملات ماههای اخیر خود به صنایع گوناگون نظیر انرژی، هوانوردی، سازندگان قطعات فروخته شده به پیمانکاران دفاعی و نیز سیستم‌های اقتصادی، از 4 آسیب پذیری "روز صفر" استفاده کرده است.

 سیمانتک در گزارش رسمی خود گفته است: این گروه بر روی سرقتِ عمده­­ مالکیت معنوی، تمرکز کرده و کاملا واضح است که منابع انسانی کافی، بودجه و مهارت تکنیکی مورد نیاز برای انجام این امر را در اختیار دارد.

کمپین این گروه که از سوی سیمانتک "پروژه الدر وود" (ElderWood) نام‌گذاری شده است، از ابزارهای سودجو برای حفره­‌های شناخته‌نشده از قبل در نرم‌افزارهایی نظیر Adobe Flash Player، اینترنت اکسپلورر، Microsoft XML Core Services استفاده کرده است. سیمانتک بر این باور است که تعدادی از این آسیب‌پذیری‌های روز صفر با استفاده از منابع کد دزدیده شده، به دست خود هکرها ایجاد شده است.

سیمانتک بین حمله Aurora که در اواخر 2009 و اوایل 2010 اتفاق افتاد، با کمپینی که طی  20 ماه اخیر از این 8 آسیب‌پذیری روز صفر گوناگون استفاده کرده، ارتباطی یافته است.

استاکس‌نت که در سال 2010 برای اولین بار کشف شد، برای رخنه به هدفش (تاسیسات غنی سازی انرژی اتمی ایران) از 4 آسیب‌پذیری روز صفر استفاده می­ کرد، اما این گروه حدود 8 آسیب پذیری روز صفر در اختیار دارد.