Za razliko od Trojanca Flashfake, ki je razkril teoretične nevarnosti v nezaščitenem okolju Mac OS X, je nova škodljiva programska oprema poznana kot Backdoor.OSX.SabPub.a pravi primer kako ranljivi so lahko Apple računalniki.
Backdoor so strokovnjaki prvič zaznali v začetku aprila 2012. Podobno kot Flashfake je izkoristil določene ranljivosti v Java Virtual Machine. Število uporabnikov okuženih z zlonamerno programsko opremo je relativno nizka, kar prav tako kaže na to, da kiber krimiralci uporabljajo Backdoor za ciljne napade.
Po aktiviranju na okuženem računalniku se sistem poveže z oddaljeno spletno stranjo na kateri dobi navodila. Strežnik za vodenje in nadzor je lociran v ZDA in uporablja brezplačne dinamične DNS storitve za usmeritev zahtev okuženih računalnikov.
Kasnejši dogodki so potrdili prvotno teorijo, da je bil SabPub del ciljnega napada. Strokovnjaki Kaspersky Laba so vzpostavili lažno vabo računalnika, ki je bil okužen z virusom Backdoor. Tako so 15. aprila odkrili nenavadno dejavnost. Napadalci so zasegli nadzor nad okuženim sistemom in ga začeli analizirati. Pošiljali so ukaze, da bi videli vsebino in izvor uporabnikovih map ter prenesli nekaj lažnih dokumentov shranjenih v sistemu. Analizo so najverjetneje izvedli ročno in ne z uporabo avtomatiziranega sistema, kar je zelo redko v širokem "množičnem trgu" škodljivega programja. To je še en dokaz, da je Backdoor primer napredne obstojne grožnje v aktivni uporabi.
Med analizo Backdoor so odkrili še več podrobnosti o okužbi usmerjenega napada. Raziskovalci Kaspersky Lab so odkrili šest Microsoft Wordovih dokumentov, ki so vsebovali izkoriščevalsko programsko kodo. Dva od njih sta spustila del SabPub protokolne podatkovne enote v kateri so uporabniški podatki. Poskus odprtja še štirih dokumentov na ranljivem sistemu vodi do okužbe s specifično zlonamerno programsko opremo značilno za Mac. Vsebina enega od SabPub povezanih dokumentov je vodila do tibetanske skupnosti. Očitna povezava med SabPub in drugimi ciljnimi napadi na Windows računalnikih, ki so poznani kot LuckyCat, kaže na raznoliko in široko kriminalno dejavnost istega izvora.
