Det finns som bekant många olika typer av skadliga program, och ett flertal olika program inom var och en av kategorierna av skadlig programvara. Dessa kan ha skrivits av enskilda, men det kan också vara aktörer med stora resurser som står bakom. I vissa fall finns skäl att misstänka att det är stater som står bakom.

Företaget Symantec, som säljer olika typer av mjukvara, däribland program som skyddar mot olika typer av virus och trojaner, skriver på sin blogg om spionprogrammet Regin, som de och konkurrenten Kapsersky upptäckte ungefär samtidigt i november 2014. Programmet har dock funnits under lång tid. Kaspersky ska ha upptäckt Regin våren 2012, men programmet kan ha samlat in data redan 2003. Regin är namnet på en dvärg i nordisk mytologi, som omnämns i den poetiska Eddan Enligt den tyska tidningen Die Welt gav Microsofts säkerhetsexperter programvaran detta namn 2011, alltså innan Kaspersky upptäckte. Enligt Sången om Regin, som ingår i Eddan, var dvärgen ”klok, grym och trollkunnig”, något som säkerhetsavdelningen tyckte passade in på även den digitala Regin.

programmet till stor del verkar ha använts för att samla information om stater som Ryssland, Iran, Saudiarabien, Mexiko och Pakistan, gör att många misstänker att det är en stat som står bakom utvecklandet av Regin. Några av de stater som tros ha resurser till utvecklingen, och intresse av att spionera digitalt på de nämnda länderna, är USA, Israel och Kina. Den stat som står bakom programmet har det troligen som det främsta vapnet i sin samling av verktyg för digitalt spioneri. Programmet har dock inte enbart använts för att spionera på stater, utan även företag, forskningsinstitutioner och privatpersoner. Trojanen är inriktad på datorer som kör Microsoft Windows, och kan spridas på många olika sätt. Ofta har den dock infekterat via förfalskade webbsajter, som sett ut precis som originalen.

Regin är en trojan som öppnar bakdörrar, och gör det möjligt för de som styr det att kringgå ett datorsystems vanliga säkerhetsrutiner. Regin är betydligt mer avancerat än många andra trojaner. Utvecklingsarbetet kan ha tagit ett år eller mer, och en stor del av tiden har lagts på att försvåra spårning av upphovsmännen. Programmet laddar sig självt i fem steg, och alla steg utom det första är krypterade. Det är dessutom svårt att få någon större förståelse för programvaran genom att bara analysera ett steg, eftersom inget enskilt steg innehåller särskilt mycket information. Det är dessutom svårt att uttala sig om vilken information programmet skickar vidare, även efter att det upptäckts att en dator är infekterad.