Trong khi phân tích những mẫu mã độc mới bị phần mềm bảo vệ của họ phát hiện ra , các chuyên gia đã tìm thấy mã độc trong tài liệu Microsoft Office thông qua macro có cơ chế chống lại sự phân tích .

Tin tặc đã dùng mã rất khó hiểu cho mã độc của họ với hy vọng cản trở những nỗ lực phân tích của các chuyên gia an ninh để tìm nguồn gốc của mã độc . Chiến thuật này đôi khi có tác dụng nhưng đội ngũ của Zscaler vẫn phân tích thành công . Mã độc hoạt động theo cách này thường kiểm tra môi trường ảo hóa vì các chuyên gia hay dùng môi trường này để phân tích mã độc .

Macro trong mã độc mà Zscaler tìm ra dùng tới 3 kỹ thuật cũ để quét môi trường ảo hóa và sandbox . Nó kiểm tra những chuỗi môi trường ảo hóa chuẩn , dùng giao diện WMI (Windows Management Instrumentation) để nhận dạng môi trường ảo hóa và những hệ thống  phân tích tự động , và cũng dùng một danh sách tĩnh phần mềm đã biết mà những chuyên gia an ninh hay sử dụng .

Bên cạnh 3 kỹ thuật trên , Zscaler cũng phát hiện ra hai thủ đoạn mới . Đầu tiên mã độc này tìm kiếm trong danh sách những file vừa mới mở của Office . Nếu mục tiêu lây nhiễm có ít hơn 3 file , mã độc cho rằng nó là môi trường thử nghiệm và dừng thực hiện . Hành động này theo suy nghĩ của tin tặc đó là môi trường hệ điều hành không có sự hoạt động của người dùng nên không có danh sách những phần mềm đã được mở .

Thủ đoạn thứ hai mới của macro độc hại này dùng dịch vụ GeoIP của Maxmind . Nó kiểm tra địa chỉ IP của người dùng  và so sánh với danh sách nội bộ những địa chỉ IP đã biết của những công ty  bảo vệ , những trung tâm dữ liệu hoặc những dịch vụ phân tích mã độc khác .  Nếu trùng những địa chỉ này nó sẽ dừng việc thực thi .

Nếu kiểm tra thấy môi trường an toàn nó sẽ tải Trojan cửa sau Matsnu vào máy nạn nhân và đôi khi về sau sẽ tải Trojan cửa sau Nitol và mã độc đòi tiền chuộc Nymaim .