"Le fait que ces agresseurs aient réussi à infecter des centaines de cibles en dépit de la simplicité des techniques utilisées est un peu déroutant", a déclaré Costin Raiu, directeur de recherche mondiale de Kaspersky. Chaque antivirus sérieux  devrait être capable d'attraper et de bloquer ce virus, a t-il dit.

Un virus écrit à la hâte

"Il n'est pas clair qu'il s'agisse d'une attaque soutenue par un Etat", a déclaré le chef du département technologie de Seculert, Aviv Raff. Le malware Mahdi ne présente pas une menaces des plus complexes et semblerait même plutôt avoir été écrit à la hâte", a t il poursuivi. Toutefois, "les entités ciblées sont réparties selon les désirs des pirates, ce qui pourrait suggérer un soutien financier ou des investissement considérables" note le spécialiste.

"Cette campagne a été mise en oeuvre avec une technologie limitée et même presque rudimentaire", a déclaré de son côté Costin Raiu.
"En ce qui concerne la complexité du malware, l'attaque de Mahdi serait de rang inférieur aux récentes attaques contres les militants tibétains et les militants ouïgours", a déclaré Costin Raiu. En effet, les logiciels alors exploités représentaient de véritables exploits en terme de technologie. "Pour Mahdi, tout n'est basé que sur l'ingénierie sociale".

Un des serveurs de contrôle basé à Téhéran

Les samples de Mahdi analysés par Seculert et Kaspersky tentent de communiquer avec quatre serveurs de contrôle distincts. Trois d'entre eux sont situés au Canada et un à Téhéran, en Iran.
Bien qu'il n'y ait pas encore de preuve définitive de l'origine du malware, d'autres indices trouvés dans le code du logiciel indiquent que ceux qui l'ont conçu sont à l'aise en Persan et utilisent des dates au format du calendrier Persan.

Le nom du malware, lui, fait référence, selon les croyances islamiques, à l'une des figures messianique présentée comme le "sauveur", qui devrait régner sur le monde dans les jours précédent le jugement dernier afin d'établir un monde de justice et d'équité.