Eind november raakte bekend dat de malware die is gebruikt bij Belgacom 'Regin' heet. De uiterst complexe software bestaat al sinds 2003, maar bleef lange tijd onopgemerkt. Pas in 2009 doken de eerste sporen van Regin op via de online virusscanner VirusTotal.

Toen Belgacom op 21 juni 2013 vaststelde dat ze waren gehackt, verstuurde één van hun medewerkers een bestand met gegevens over het virus dat hij had aangetroffen naar VirusTotal. Experts in computerbeveiliging van The Intercept analyseerden de inhoud van het bestand dat Belgacom op VirusTotal plaatste. Daaruit blijkt dat dezelfde malware is gebruikt bij een inbraak bij de Europese Unie. Vorig jaar berichtte Der Spiegel over die hacking, op basis van Snowden-documenten die dateren uit 2010.

Maar ook privé-personen zijn aangevallen met Regin. Eén van hen is de Belgische professor cryptologie Jean-Jacques Quisquater, die verbonden is aan de Université Catholique de Louvain (UCL). 

Uit de technische analyse van Regin komt naar voor dat het om een bijzonder complex virus gaat. De woorden 'virus' of 'malware' zijn zelfs te bescheiden voor Regin. Experts spreken over een 'malwareplatform'. Een soort kwaadaardige Windows of Linux, eigenlijk.

Zowel GCHQ als NSA weigeren commentaar te geven bij Regin. Maar documenten van Snowden linken de malware duidelijk aan de Britse spionnen.

Meerbepaald zijn er overeenkomsten tussen codenamen die voorkomen in de malware bij de Belgacomsystemen en terminologie in GCHQ-documenten. De malware bij Belgacom bevat onder meer de codenaam 'Legspin' (een term uit cricket, populair in Groot-Brittannië). In een GCHQ-document over hackingmethodes komt 'Legspin' naar voor als een manier om computers binnen te dringen.