Iran har haft en hög aktivitetsnivå i fråga om cyberattacker sedan 2010, enligt Palo Alto Networks. En rad angrepp har identifierats av olika säkerhetsleverantörer, även om det ofta har saknats en direkt och identifierbar koppling till iranska staten. Ofta har bevisen istället handlat om de slutsatser som dragits av orsakerna till attackerna och hur de genomförts.
Det finns idag en rad aktiva grupper och attackkampanjer som branschen menar har sitt ursprung i Iran. Genomgående har det funnits två olika motiv till intrången: spionverksamhet och förstörelse. Spionage har varit anledningen till majoriteten av attackerna och har då handlat om att få tillgång till känslig information hos utvalda organisationer som Iran ser som fiender. Ett mindre antal attacker har också handlat om att förstöra något hos en utvald motståndare. Den senare typen av intrång påbörjades med Shamoon-attacken 2012 och har återkommit sedan dess, bland annat som Stonedrill och Zerocleare.
Enligt Palo Alto Networks har en rad olika typer av tekniker använts vid attackerna. Det handlar till exempel om phishing, identitetsstöld, DNS-intrång och skriptbaserade bakdörrar.