Irán hivatalosan tagadta, hogy bármi köze lenne az elmúlt időszakban a Perzsa-öböl mentén székelő olajipari vállalatok ellen végrehajtott  kibertámadásokhoz. Mahdi Akhavan Bahabadi a National Center of Cyberspace vezetője elítélte az Egyesült Államok "politikailag motivált" vádjait, amit az irániakkal kapcsolatosan hangzottak el, miszerint közük lenne a Shamoon malware-hez, amely a Saudi Aramco és a RasGas nevű vállalatok hálózatát támadta meg néhány héttel ezelőtt. "Véleményünk szerint ez tisztán politikai ügy, ami az amerikaik hazai nehézségeiről és az elnökválasztási kampányáról szól".

Annak ellenére, hogy végtelen mennyiségű találgatás került napvilágra, még korai lenne kijelenteni egyértelműen, hogy összefüggés van a Shamoon malware és a közel-keleti energetikai óriás vállalatok elleni támadás közt, bár a támadók szándéka talán már világosabb. Kutatók véleménye szerint a káros szoftver készítői nem magasan képzett programozók voltak, hanem inkább tehetséges amatőrök, akiket a politikai motivációik vezéreltek. A Kaspersky Lab kutatója Dimitrij Tarakanov a cég Securelist blogján fejtegeti a malware technikai részleteit és rávilágít néhány hiányosságra. Például bemutat egy olyan hibát, ahol "S" betű helyett "s"-t kellett volna használni, hogy a "sprint" függvény lefusson, így azonban nem tud más káros szoftvereket telepíteni és futtatni.

Egy vagy több, magas hozzáférési szinttel rendelkező belső munkatárs által nyújtott segítséget gyanítanak a Saudi Aramco-t ért kibertámadás mögött, amelyben 30000 számítógép vált áldozattá. Egy a belső nyomozást ismerő forrás szerint: "Olyan valaki van a háttérben, akinek komoly ismeretei és magas szintű  jogosultságai vannak a vállalatban". A Shamoon káros szoftver elterjedt a cég hálózatán, és törölte a számítógépek merevlemezén lévő adatokat. Az Aramco szerint a támadás csak irodai gépeket érintett, a termelésre nem volt befolyása. Egy bejelentésben a korábban ismeretlen "The Cutting Sword of Justice" nevű csoport vállalta a felelősséget a támadás miatt.

A Symantec kiadott egy figyelmeztetést, miután a Shamoon malware új variánsára bukkantak. Az új verzió - amit a cég W32.Disttrack néven azonosít - letörli a fájlokat a fertőzött gépről, tönkreteszi a master boot record-or (MBR) is, illetve megváltoztatja az aktív partíciót a fertőzött gépen. Amíg a régebbi variáns 192 kb-os blokkokban írta felül a merevlemez tartalmát, amely egy égő amerikai zászlót tartalmazott, az újabb verzió véletlenszerű adatokat használ erre a célra. Az adatok törlése egy .pnf fájl által meghatározott időben indul el.

Jelentések szerint a Perzsa-öbölben, Katarban székelő folyékony földgáz (liquified natural gas - LNG) szolgáltató RasGas-t egy azonosítatlan vírus támadta meg, amely miatt sem a vállalat weboldala, sem pedig az email szerverei nem elérhetőek. Egyes vélemények szerint kapcsolat van a közelmúltban a Saudi Aramco elleni malware támadás - aminek 30000 számítógép esett áldozatul - és a mostani RasGas eset közt, amely a számítógépes rendszer részleges kiesését okozta. Hasonlóság van abban például, hogy a RasGas termélését ugyanúgy nem érintette az eset, mint a korábbi Aramco incidens. Bár egyik vállalat sem nevezte meg a támadásban résztvevő káros szoftver, azonban a szakértők az Aramco esetében a Shamoon-ra gyanakodnak.

Egy időzítőt találtak a Shamoon malware-ben, amely pontosan azt az időpontot és dátumot mutatja, amikor egy hacktivista csoport - állításuk szerint - több ezer számítógépet választott le a Saudi Aramco hálózatáról. "Bejutottunk az Aramco hálózatába, amihez számos feltört rendszert használtunk fel a világ több országában, és olyan vírust küldtünk, amivel harmincezer számítógépet pusztítottunk el". A magát Cutting Sword of Justice nevező csoport a Pastebin-en hozta nyilvánosságra az üzenetét augusztus 15. Ezen a napon az Aramco megerősítette, hogy a számítógépes hálózatuk egyes részei valóban érintettek voltak egy vírus által, azonban az eset nem érintette a vállalat olaj kitermelését.

A Saudi Arabian Oil Co (Saudi Aramco) szerdán lekapcsolta a számítógépes hálózatát válaszul egy komoly vírus fertőzésre, ennek ellenére az állami tulajdonú vállalat azt állítja, hogy az incidens nem érinti az olaj kitermelést. A cég a Facebook oldalán hozott nyilvánosságra egy bejelentést, amely szerint: "szerdán, augusztus 15-én a cég megerősítette, hogy leválasztották az összes elektronikus rendszerüket a külső hozzáférések elől, hogy ezzel a megelőző intézkedéssel megvédjék a hálózatot a bekövetkezett hirtelen leállástól. A leállás oka az volt, hogy vírus fertőzte meg a munkaállomásokat, bár az nem érintette a hálózat egyéb komponenseit".