החשודה המיידית במתקפה, כך נמסר ל"אופיר", היא איראן. דווקא בגלל החרם הבינלאומי על הרפובליקה האיסלאמית נאלצה איראן לבנות בעצמה מערכות תקשורת והצפנה. לצורך זה הקימה מערך מרשים של מכונים ומהנדסי סייבר, ושיכללה מאוד את יכולותיה בגניבת טכנולוגיות, פריצה למערכות מידע והשתלת וירוסים. כבר שנים שקהילת המודיעין רואה התקפות רבות של המודיעין האיראני על מחשבים ישראליים. השאלה היא כמובן מה היא לא רואה, איפה הפרצות בחומה, ומה תפקיד השחקנים העוינים האחרים בזירה המזרח־תיכונית, חמאס וחיזבאללה.

הצוות של "אופיר" יצא לעבודה, והחל לבחון תשתיות מחשבים ושרתים של כמה מהגורמים המרכזיים במדינת ישראל, חלק ניכר מהם, כאמור, של גורמים אזרחיים.

כשהתוצאות הגיעו, כך מספר אדם הבקיא בעניין, התקשה "אופיר" להאמין למה שהוא רואה. "הוא אמר שבטח נפלה כאן טעות, שמשהו לא בסדר בנתונים. אז הם הלכו ובדקו שוב, והתברר שהכל נכון. שאר המומחים שבחנו את הדוח הגיעו למסקנות דומות". בישיבה בה הוצגו מסקנות הדוח אמר "אופיר": "אני הרבה שנים בעולם הסייבר ודבר כזה לא ראיתי: מחשבים רבים נגועים, לרבות מקומות אזרחיים לגמרי - בתי ספר, בתי חולים, משרד הפנים, תשתיות לאומיות, ועוד ועוד - הכל עם מאלוורס (malwares, הֶלְחם של המילים malicious software, "תוכניות זדוניות" או "נוזקה"), וביניהן כאלה מתת־המשפחות של המאלוורס, שהן הכי מתוחכמות בצורת ההדבקה והפעילות שלהן".

החוקרים הופתעו לגלות כי אמנם חלק מהתוכנות הזדוניות התגלו בתוך מחשבים אישיים, כצפוי, אבל חלקן אותרו עמוק בתוך מערכות מחשוב מרכזיות, שנחשבות לקשות יותר לחדירה על ידי האקרים. "מי שעמד מאחורי הפעילות הזו הפך אותה לצורה של אמנות", אומר אותו גורם, "ואין לו בעיה להשקיע משאבים אדירים וכוח אדם בלי סוף. זה לא עוד תחביב של מישהו, וזה לא שתיים, שלוש או ארבע יחידות שעוסקות בהתקפה. זו מדינה שנרתמת בכל מה שיש לה לטובת המאמצים האלה".

הצוות של "אופיר" העריך כי כוח האדם שנדרש לטובת המאמץ נגד ישראל הוא מאות רבות של אנשים. זה הרבה אפילו עבור מדינה. "כדי לכתוב קוד טוב למאלוור אפשר להשתמש בדארקנט, שם אתה יכול לאתר 60־70 אחוז ממה שאתה צריך", הסביר "אופיר" בסקירה. "אבל את השאר צריך לעשות תפור לפי המחשב שאליו רוצים לפרוץ. הכתיבה של אותם 30% היא מאמץ אדיר, שלא לדבר על הצורך לקלוט את כמויות המידע הכבירות שייאספו במאמץ הזה. מי שעשה את זה רוצה לדעת עלינו הכל, להפשיט אותנו עירום ועריה".

אבל בסיכום הדיון הוטלה פצצה נוספת: על פי הבדיקה של צוותו של "אופיר" כל התוכנות הזדוניות הללו לא היו שייכות לאיראן, וגם לא לחיזבאללה או לחמאס. למה שהוגדר כ"התפשטות המחלה בכל אחד מהאיברים של מרחב הסייבר הישראלי" אחראי גורם אחר לגמרי, רב־עוצמה בהרבה, ולדברי גורם מודיעין ישראלי - מסוכן בהרבה מכל מה שהכרנו.

לפני כשבועיים, עם הפרסום על מעצרו של השר לשעבר גונן שגב, נחשפה חלקית פרשת ריגול שהעסיקה את המודיעין הישראלי מזה שנים, ועד כה הייתה ידועה רק למספר מצומצם של שותפי סוד. התיק פוצח באמצעות אחת היחידות העלומות והסודיות ביותר בקהיליית המודיעין הישראלית - היחידה לסיכול ריגול (מה שמכונה לעיתים גם ריגול נגדי ‑ ר"ב) של השב"כ.

בארגון הפנימי של השב"כ, היחידה הזו היא אחת משלוש שמרכיבות את האגף לענייני ישראל וזרים, אבל גם בארגון שהמוטו שלו "מגן ולא יראה" היחידה לסיכול ריגול היא גוף ממודר, חשאי ורגיש, ולכן כל בקשותינו לקבלת שיתוף פעולה עם השב"כ נענו בשלילה. מה שכן מתברר הוא שאפרופו פרשת שגב, אמנם האיראנים מנסים תדירות לחדור לישראל לצורך ריגול, אבל עיקר עבודתם של אנשי היחידה היא בסיכול ריגול של גורמים אחרים לגמרי. והגורמים הללו כבר חוללו בשנתיים האחרונות מהפכה ביחידה לסיכול ריגול.