Symantec ha descubierto un troyano de alta complejidad que lleva espiando a gobiernos, compañías e individuos desde al menos 2008. Según la firma de seguridad, el malware apodado "Regin" muestra una estructura con "un grado de competencia técnica pocas veces visto", por lo que se apunta hacia algún gobierno como responsable del diseño.
La infección de Regin se puede producir por múltiples vías y se divide en cinco fases, de las cuales cuatro están fuertemente codificadas. Además de ser extremadamente difícil de detectar debido a su estructura, el malware cuenta con un sistema de módulos que permite adaptar las funcionalidades a cada objetivo.
Las capacidades básicas de Regin incluyen capturas de pantalla, secuestro del cursor, robo de contraseñas, monitorización de tráfico de red y recuperación de archivos borrados. Asimismo, Symantec también ha descubierto módulos más avanzados que se diseñan específicamente para un objetivo, como en el caso de los servidores web de Microsoft IIS.
Geográficamente, las infecciones del troyano se concentran en Rusia y Arabia Saudí, aunque también hay una incidencia destacable en Irlanda y México. Los expertos explican que Regin está potencialmente diseñado para campañas de espionaje que duren varios años, siendo capaz de ocultar sus actividades incluso una vez descubierto.
"Es muy probable que el desarrollo completo haya llevado meses, sino años, y sus autores han hecho todo lo posible para cubrir su rastro", escribe Symantec en el informe. "El desarrollo y la operación de este malware habría requerido una inversión significativa de tiempo y recursos, indicando que una nación estado es responsable".
Symantec explica que las infecciones conocidas se han producido entre 2008 y 2011, cuando el malware se retiró de forma abrupta hasta recibir una nueva versión en 2013. La firma de seguridad reconoce que la mayoría de los componentes de Regin todavía no son conocidos, y se adelantan futuros descubrimientos de nuevas funcionalidades y versiones.
