V eni od evropskih držav je bil odkrit skrivnostni vohunski program Duqu.

Duqu omogoča nadzor računalnika na daljavo, pri tem komunicira z nadzornim strežnikom v Indiji (strežnik je izginil s spleta nekaj ur po odkritju). Komunikacijo prikriva tako, da na strežnik pošilja slikovne datoteke JPG (fotografijo trka dveh galaksij pod oznako NGC 6745, ki jo je posnel satelit Hubble), na konec datoteke pa pripne kriptirane podatke z nadzorovanega računalnika.

Na napadenem računalniku omogoča pregledovanje pognanih programov, zajem slike ekrana, podatkov o omrežju, beleženje pritisnjenih tipk, dostop do datotek na lokalnih in oddaljenih diskih ter iskanje ostalih računalnikov v omrežju.

Za razliko od znanega trojanskega konja Stuxnet, ki je bil napisan z namenom onemogočiti centrifuge za bogatenje urana v Iranu, doslej ni bil odkrit namen, s katerim je bil napisan Duqu. Zaenkrat kaže, da gre za začetni program, napisan z namenom raziskati ciljni računalnik in njegovo okolje ter pripraviti naslednji napad. Obstaja pa verjetnost, da so ga napisali avtorji Stuxneta, saj vsebuje velik del enake izvorne kode (ki je dostopna samo avtorjem Stuxneta).

Duqu se, tako kot Stuxnet, skriva v z digitalnim certifikatom podpisani datoteki. Certifikat pripada tajvanskemu podjetju C-Media Electronics Incorporation in bi potekel 2. avgusta 2012, vendar je bil 14. oktobra letos preklican, kmalu zatem, ko so protivirusna podjetja pričela raziskovati vohunski program.

Glede na datume, ki se nahajajo v kodi, obstaja verjetnost, da je bil v uporabi že od decembra 2010. Kmalu po javni objavi, da je bil Duqu odkrit, so se pojavile nove verzije, ki so bile narejene 14. oktobra. Z dodatnim raziskovanjem je bilo odkrito, da se je datoteka prvič pojavila 1. septembra letos, ko jo je na spletni strežnik VirusTotal poslal nekdo iz Madžarske.

Ime Duqu je dobil zato, ker kreira začasne datoteke z imenom "~DQx.tmp".

Posebnost vohunskega programa Duqu je tudi, da se po 36 dneh ostrani iz okuženega računalnika, tako da žrtev kasneje niti ne ve, da je bila okužena.

Verzija A kreira datoteke jminet7.sys, netp191.pnf in netp192.pnf. Verzija B kreira datoteke cmi4432.sys, cmi4432.pnf in cmi4464.PNF.

Varnostni programi podjetja F-Secure zaznajo vse doslej znane variante, z generičnim zaznavanjem pa so že 1. septembra zaznali tudi prvi vzorec.