Pirmieji „Regin“ aktyvumo pėdsakai „Kaspersky Lab“ ekspertų buvo aptikti dar 2012 m. pavasarį. Per pastaruosius trejus metus šios kenkėjiškos programinės įrangos pavyzdžiai buvo periodiškai aptinkami, bet neturėjo tiesioginio tarpusavio ryšio. Tačiau tyrimo metu „Kaspersky Lab“ specialistai pastebėjo daugybę „Regin“ tipo kibernetinių atakų į vyriausybines organizacijas ir telekomunikacijų bendroves – būtent tai leido gauti pakankamai duomenų nuodugniam kenkėjiškos platformos tyrimui.
Viruso tyrimas parodė, kad platformą „Regin“ sudaro daugybė kenkėjiškų instrumentų ir modulių, gebančių užkrėsti organizacijų tinklus ir nuotoliniu būdu juos kontroliuoti visais galimais lygiais. Sukompromituotų korporatyvinių tinklų kontrolei apgavikai taiko gana trivialų būdą.
Išnagrinėję duomenų perdavimo iš užkrėstų organizacijų procesą vienoje šalyje, „Kaspersky Lab“ ekspertai nustatė, kad tik viename iš sukompromituotų tinklų buvo nustatytas ryšys su atakuojančiu serveriu, esančiu kitoje šalyje. Tuo pat metu visi užkrėsti tinklai vienoje valstybėje galėjo komunikuoti tarpusavyje keisdamiesi informacija. Takiu būdu apgavikai surinko visus jiems reikalingus duomenis tik vienos aukos serveriuose. Būtent šis techninis platformos „Regin“ ypatumas ir leido kibernetiniams nusikaltėliams veikti nepastebimai tokį ilgą laiką.
