De religieus getinte Mahdi-spyware die vooral in het Midden-Oosten actief is, heeft ook in Nederland slachtoffers gemaakt. Het Russische anti-virusbedrijf Kaspersky Lab meldt dat de meeste infecties in Iran bevinden, maar dat ook Europese landen getroffen zijn, waaronder Nederland. Het gaat waarschijnlijk om zakenreizigers en academici van wie de laptops besmet zijn geraakt.

Om computers te infecteren sturen de aanvallers een PowerPoint-bestand met daarin een religieus thema, hoewel ook andere onderwerpen zijn gebruikt. Op besmette computers worden onder andere Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, Jabber en Facebook-accounts bespioneerd.

Iran
Na de bekendmaking van Mahdi stelde Symantec dat de meeste infecties zich in Israël bevonden. Daarmee wijkt het af van Kaspersky Lab en Seculert. Dit beveiligingsbedrijf ontdekte Mahdi en schakelde vervolgens Kaspersky in om met de analyse te helpen. Volgens Seculert heeft Symantec mogelijk alleen naar varianten gekeken die met Israëlische slachtoffers communiceerden.

Een andere mogelijkheid is dat er alleen naar de machines van eigen klanten is gekeken. "Als een Amerikaans bedrijf is het Symantec verboden om producten aan Iran te verkopen en kan daarom ook geen infecties in Iran waarnemen", aldus het beveiligingsbedrijf.

Flame
Seculert ontdekte geen direct verband tussen Mahdi en het zeer geavanceerde Flame-virus, maar vond toch iets opmerkelijks. Alle besmette computers krijgen een unieke prefix toegewezen. Daarbij wordt onder andere de prefix "Flame" gebruikt. Het eerste slachtoffer met de Flame-prefix begon te communiceren net nadat Kaspersky Lab het Flame-virus openbaar maakte.