رصدت «بالو ألتو نتوركس» مستند "مايكروسوفت وورد" خبيث، متخفٍّ بهيئة مستند "نورتون لايف لوك" ومحمٍ بكلمة مرور، يجرى استخدامه في شن حملة تصيّد احتيالي ترمي إلى زرع أداة تجارية لدخول الأنظمة عن بُعد تدعى "نت سابّورت مانيجر" (NetSupport Manager). وقد أثار هذا الهجوم الاهتمام نظرًا لانتحال المستند صفة "نورتون لايف لوك" في جذب المستخدمين نحو تفعيل برمجيات الماكرو. ويجري عادة استخدام أداة الدخول المذكورة لأغراض مشروعة لتمكين مديري الأنظمة من ولوج الحواسيب التابعة وإدارتها عن بعد. لكن الجماعات المعادية عمدت إلى تثبيت هذه الأداة على الأنظمة الضحية لامتلاك القدرة على الدخول غير المشروع. وقد لوحظ استغلال هذه الأداة في الدخول غير المشروع ضمن حملات تصيد احتيالي تعود إلى عام 2018 على أقل تقدير.  وإثر المراجعة الأولية لهذا الكشف الأمني، والذي رصدته منصة الحماية "كورتيكس إكس دي آر"، لوحظ بدء تدرج الأحداث بمجرد فتح مستند وورد ضمن برنامج آوتلوك في طقم مايكروسوفت أوفيس. ورغم عدم توفر رسالة البريد الإلكتروني الناقلة، استطاعت «بالو ألتو نتوركس» استنتاج أن هذا النشاط يبدو من ضمن سياق حملة هجومية أكبر. الجدير بالذكر أن هذا النشاط الخبيث يوظف تكتيكات مراوغة للحيلولة دون رصده من قبل نظم التحليل الديناميكية والثابتة، مستغلاً حزمة "باور سبلويت" البرمجية العاملة في إطار موجه الأوامر "باور شيل" في أنظمة مايكروسوفت لإجراء عملية تثبيت الملف. هذا وقد تم ربط نشاط هجومي آخر بهذه الحملة يعود إلى أوائل نوفمبر من عام 2019 بعد إجراء تحليل إضافي لاحق.