De Amerikaanse inlichtingendienst NSA is betrokken of zelfs verantwoordelijk voor de geavanceerde Regin-malware, zo stelt het Russische anti-virusbedrijf Kaspersky Lab. De virusbestrijder baseert zich op een analyse van de viruscode en bestanden die door klokkenluider Edward Snowden werden gelekt.

De Duitse krant Der Spiegel publiceerde de documenten (pdf) en bestanden op 17 januari van dit jaar. Onder de gelekte bestanden bevond zich ook een keylogger met de codenaam QWERTY die door de NSA zou zijn ontwikkeld. Onderzoekers analyseerden deze keylogger en ontdekten dat de code identiek is aan een plug-in van de Regin-malware. De onderzoekers merken op dat de QWERTY-keylogger niet als losse module kan worden ingezet, maar van functionaliteit afhankelijk is die door een Regin-module wordt geboden.

"Gezien de extreme complexiteit van het Regin-platform en de kleine kans dat het door iemand kan worden nagebootst die geen toegang tot de broncode heeft, concluderen we dat de ontwikkelaars van de QWERTY-malware en de Regin-ontwikkelaars dezelfde zijn of samenwerken", aldus onderzoeksdirecteur Costin Raiu. Eerder stelde het Nederlandse beveiligingsbedrijf Fox-IT dat de malware door de NSA of Britse geheime dienst GCHQ was gemaakt.

Regin is volgens Symantec al sinds 2008 in gebruik, terwijl Kaspersky Lab zelfs een compilatiedatum van 1999 voorbij zag komen. Onder andere Belgacom en een medewerkster van de Duitse Bondskanselier Angela Merkel zouden via de malware zijn aangevallen. De spionagemalware gebruikt allerlei technieken om detectie te voorkomen. Zo is het nog altijd onbekend hoe Regin computers infecteert. "Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit", liet Raiu eerder al weten.