Onderzoekers hebben een geavanceerde spionagetool ontdekt die al zeker sinds 2008 actief is, maar hoe de malware zich verspreidt is nog altijd een raadsel. De tool wordt door Symantec Regin genoemd en is ontwikkeld om informatie van aangevallen organisaties te verzamelen. Eenmaal actief kan de malware screenshots maken, wachtwoorden stelen, netwerkverkeer monitoren en informatie over processen en geheugengebruik verzamelen. Ook kan het naar verwijderde bestanden op een besmette computer zoeken en die herstellen.

De ontwikkelaars van Regin hebben de malware zo ontwikkeld dat die allerlei modules ondersteunt. Onderzoekers ontdekten bijvoorbeeld een module om het netwerkverkeer van Microsoft Internet Information Services (IIS) webservers te onderscheppen. Een andere module was gemaakt om verkeer van basisstationscontrollers voor mobiele telefoons te verzamelen, terwijl een derde module in staat was om e-mail van Exchange-databases te parsen.

Regin zou allerlei maatregelen nemen om niet te worden ontdekt, waarbij waardevolle informatie die de malware aantreft niet naar de harde schijf wordt geschreven. Zo gebruikt de spionagetool versleutelde virtuele bestandssysteembestanden om databestanden in op te slaan. Volgens Symantec verschilt Regin van andere zogeheten "Advanced Persistent Threats" (APTs) omdat deze categorie vaak intellectueel eigendom probeert te stelen, terwijl Regin is ontwikkeld om aangevallen organisaties of individuen continu te monitoren. Infecties werden zowel bij individuen als organisaties aangetroffen, waaronder in België en Oostenrijk. Wie de malware heeft ontwikkeld is onbekend, maar het Finse anti-virusbedrijf F-Secure denkt niet dat Regin uit China of Rusland afkomstig is.