Religieus getinte spyware heeft belangrijke systemen in voornamelijk Israël geïnfecteerd, zo hebben onderzoekers ontdekt. Het gaat om de Mahdi spyware, die Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ en Facebook bespioneerde. Ook werden geïntegreerde ERP/CRM-systemen, zakelijke contracten en financiële management systemen door de spyware gemonitord. Mahdi verstopt zich in PowerPoint-bestanden die naar de slachtoffers werden gemaild

Via social engineering wordt geprobeerd om de computer van het slachtoffer te infecteren. Zo toonde één PowerPoint-presentatie een aantal beelden van een raket die een vliegtuig vernietigt. Tijdens de laatste afbeelding verschijnt er een venster dat de gebruiker vraagt om een uitvoerbaar bestand uit te voeren. Andere presentatie hadden een religieus thema.

Hacker
Beveiligingsbedrijf Seculert ontdekte Mahdi, dat onder andere bij olie- en energiebedrijven werd aangetroffen. Volgens Seculert, dat na de ontdekking Kaspersky Lab waarschuwde, vonden de meeste infecties in Iran plaats en zou het mogelijk om een door een staat gesponsorde aanval gaan.

Anti-virusbedrijf Symantec bestrijdt dat en stelt dat de meeste infecties in Israël zijn waargenomen. 62% van de besmettingen betrof Israëlische computers, gevolgd door Saoedi-Arabië met 14%.

Daarnaast zou er volgens de virusbestrijder geen enkele aanwijzing zijn dat Mahdi het werk van een staat is. Uit eigen onderzoek zou blijken dat de aanvallen zijn uitgevoerd door een Farsi-sprekende hacker met een "brede agenda", aldus Symantec.