Iran był atakowany od czerwca 2009 do maja 2010. Celem były bardzo konkretne organizacje (zidentyfikowano pięć domen), a atak został przeprowadzony przy trzech różnych okazjach. Bezpośrednim celem nie było centrum Natanz – tak istotna i tajna jednostka nie jest podłączona do Internetu. Ale inne, wymieniające z nią dane, już owszem. Wystarczy więc, by ktoś intranetem przesłał pocztę, lub przeniósł dane do Natanz za pomocą klucza USB, by włamywacze osiągnęli swój ostateczny cel. A osiągnęli: podczas inspekcji placówki pod koniec 2009 roku odkryto, że ponad 1 000 wirówek gazowych zostało odłączonych. Najprawdopodobniej na skutek działania Stuxneta.
Ataki powtórzono w kwietniu 2010 roku, wykorzystując lukę w zabezpieczeniach systemie Windows. Tym razem Stuxnet nie wyłączył wirówek, a przyspieszył ich działanie, zarazem ukrywając ten fakt przed nadzorującymi systemami. To ostateczny dowód na to, że ataki były intencjonalne, przeprowadzone przez osoby dokładnie znające systemy irańskiej placówki. Nie była to przypadkowa infekcja.