צוות התגובה של חברת ניהול ואבטחת המידע סימנטק (Symantec) מעדכן כי הסוס הטרויאני "מהדי" (Madi) התמקד בעיקר בישראל, כאשר כמעט שני-שלישים מהמחשבים הנגועים שהתגלו (62%) היו בארץ. תולעת ה"מהדי" נמצאת במעקב על ידי צוות התגובה של סימנטק (Symantec Security Response) כבר מדצמבר 2011.
בסימנטק מזהים כי התולעת, או בשמה המקורי Trojan.Madi, מסוגלת לגנוב מידע, כולל פונקציונליות כמו Keylogging. צוות סימנטק חשף כי הנוזקה משתמשת בהגדרות LiveUpdate החדשות ביותר. בנוסף ליכולות גניבת פונקציונליות Keylogging, הסוס הטרויאני יכול גם לעדכן את עצמו. צוות התגובה של החברה אבחן גם כי הסוס הטרויאני מתקשר עם שרתי פיקוד ובקרה שמושבם באירן ולאחרונה גם באזרבייג’ן.
על פי צוות התגובה של סימנטק, מטרות הסוס הטרויאני "מהדי" נמצאים בכל סוגי המחשבים, אך מתמקדים בחברות נפט, מכוני מחקר אשר מושבם בארה"ב, קונסוליות זרות, כמו גם משרדי ממשלה כאלו ואחרים, כולל כמה במגזר האנרגיה. למרות שהסוס הטרויאני נצפה בעיקר במדינות במזרח התיכון, הוא נמצא גם במדינות אחרות ברחבי העולם, החל מארה"ב ועד לניו זילנד.
ה"מהדי" מתוכנן להתקיף בצורה של הנדסה חברתית, ולחדור למחשבים ממוקדים. מטרות כמו אירן, ישראל וערב הסעודית, מעידות כי ייתכן והוא תוכנן על ידי מדינה, אף על פי שסימנטק לא מצאה הוכחות לכך שזהו המקרה. במקום זאת, המחקר הנוכחי מצביע כי התקפות אלו נערכות על ידי האקר לא מוכר דובר פרסית בעל אג’נדה רחבה.