De nieuwste variant van het mysterieuze Duqu-virus waarvoor vorige week werd gewaarschuwd, is in Iran gevonden. Daardoor is het inmiddels zo goed als zeker dat de makers van het supervirus het op Iran hadden voorzien. Het gaat dan om informatie over productiecontrolesystemen die binnen verschillende Iraanse industrieën worden gebruikt, maar ook handelsrelaties van bepaalde organisaties. "Het feit dat de nieuwe driver in Iran is gevonden bevestigt dat de meeste Duqu-incidenten met dit land verband houden", zegt Alexander Gostev van Kaspersky Lab.

Inmiddels zijn er 21 Duqu-infecties geteld, waarvan elf in Iran. Sudan en Europa volgen met respectievelijk vier en drie besmettingen. De locaties van de drie overige infecties zijn onbekend. "Er is geen twijfel dat er meer Duqu-incidenten zijn dan waar we van weten, maar we nemen aan dat het niet meer dan een paar dozijn betreft."

Mysterie
De aanpassingen in de nieuwste versie waren vooral bedoeld om detectie door bepaalde beveiligingssoftware te omzeilen. De terugkeer van Duqu laat volgens Gostev zien dat wanneer er zoveel in de malware is geïnvesteerd, het onmogelijk is om de operatie helemaal te stoppen. "In plaats daarvan doe je wat cybercriminelen uit hun lange ervaring hebben geleerd, je verandert de code om detectie te voorkomen en gaat door alsof er niets is gebeurd."

"Met minder dan vijftig slachtoffers wereldwijd is Duqu het meest mysterieuze Trojaanse paard ooit ontdekt. De focus op Iran wijst op een vasthoudende aanvaller met een sterke, duidelijke agenda", besluit de analist.