Bezpečnostní firma Kaspersky Lab odhalila, že oběti se nacházejí v Alžírsku, Afghánistánu, Belgii, Brazílii, Fidži, Německu, Íránu, Indii, Indonésii, Kiribati, Malajsii, Pákistánu, Sýrii a Rusku. Regin útočil na telekomunikační operátory, vlády, finanční instituce, výzkumné organizace atd.
Pět fází trojského koně Regin
Na vzdáleném počítači umí sledovat síťový provoz, pomocí keyloggeru krást hesla, obnovit smazané soubory, zachytávat dění na obrazovce nebo počítač rovnou ovládat. Regin navíc sledovat GSM buňky. Kaspersky Lab říká, že útočníci mohli monitorovat hovory v mobilních sítích. Už v roce 2008 prý došlo k manipulaci s buňkami u jednoho operátora na Blízkém východě.
Trojan byl modulární, takže se dokázal přizpůsobovat cíli a používat specializované funkce. A zároveň se na počítačích spouštěl ve více fázích/vrstvách. Nejdříve se nahraje první vrstva, ta dešifruje informace, spustí kód a zavolá další vrstvu. Těch fází je celkem pět, takže analyzovat kompletní malware je možné až po objevení všech pěti.
Regin byl pozorován už mezi lety 2008 a 2011, pak se na chvíli ztratil a objevil znovu až loni. Podle Symantecu se neumí sám rozmnožovat, ale do počítače musí být nahrán ručně. Třeba stažením infikované přílohy nebo využitím děr v prohlížečích nebo IM klientech. Na jeden z počítačů se dostal přes Yahoo Messenger.
