A Zscaler biztonsági cég a szűrőjén fennakadt mintákat elemezve olyan fertőzött Microsoft Office-dokumentumokra akadt, amelyek makróvírusai a hagyományos technikák mellett ravasz új módszereket vetnek be a lebukás elkerülésére.
Az egyik trükkjük az, hogy a megcélozott rendszeren átnézik a legutóbb megnyitott dokumentumok Office-listáját. Ha háromnál kevesebb fájlt találnak, tesztkörnyezetnek tekintik a célpontot, és leállítják a végrehajtást. Ebben az a logika, hogy a tesztelő és vírusfelismerő környezetek friss OS-telepítéseket használnak, amelyekben nincs valós felhasználói tevékenység, ilyenkor tehát jogos a kártevő óvatossága.
A másik újfajta ellenőrzés a Maxmind GeoIP szolgáltatását használja. A kártevő kikeresi a felhasználó IP címét, és összeveti a biztonsági cégek, adatközpontok és más víruselemző szolgáltatások IP címének listájával.
Ha egyezést talál, a makrószkript végrehajtása megintcsak leáll. Ha viszont nincs veszély, a kártevő akcióba lép, letölti a Matsnu és a Nitol backdoor trójait, és a Nymaim zsarolóvírussal is megfertőzi a gépet