Nach den Erkenntnissen von Bitdefender begann die Operation in Aserbaidschan gegen Ende Dezember und dauerte bis Ende Februar. Die dabei eingesetzten Werkzeuge zeigten Anzeichen einer Weiterentwicklung: Hinzugekommen sei ein zweistufiger Mechanismus zum Sideloading von Schadsoftware über DLLs, außerdem wurde das Fernzugriffswerkzeug Deed RAT verändert.
Die Anpassung beim DLL-Sideloading koppelt die Ausführung der Schadlast an einen bestimmten Ablaufpfad: Sie läuft nur, wenn die Anwendung eine erwartete Abfolge von Anweisungen durchläuft. Das erschwert laut den Forschern die Analyse und die Erkennung in einer Sandbox. „Die schädliche Bibliothek bereitet nur die Inszenierung und die Schadlast vor, führt sie aber nicht aus. Während die legitime Programmdatei ihren Ausführungsprozess durchläuft, fügen sich alle Puzzleteile zusammen, und plötzlich wird das Ganze bösartig", erklärt Zugec. Betrachte man die einzelnen Teile für sich, sei nichts zu erkennen — für sich genommen zeige keines ein schädliches Verhalten.
FamousSparrow wurde erstmals 2021 vom Sicherheitsunternehmen ESET dokumentiert und hat seither Hotels, Behörden und Finanzunternehmen in Nordamerika, Europa, Südamerika und im Nahen Osten attackiert. Aserbaidschan ist laut Zugec ein neues Ziel.
Ob FamousSparrow mit der als Salt Typhoon bekannten Gruppe identisch ist oder sich stark mit ihr überschneidet, lässt sich nach Einschätzung von ESET-Malware-Forscher Alexandre Côté Cyr nicht belegen. Microsoft habe den Namen Salt Typhoon geprägt, aber keine Kompromittierungsindikatoren veröffentlicht, mit denen sich klären ließe, ob es sich um dieselbe Gruppe handelt. FamousSparrow erscheine als eigenständiges Cluster mit losen Verbindungen zu anderen Gruppen wie Salt Typhoon (von vielen auch mit Earth Estries verknüpft) und GhostEmperor. Diese Verbindungen ließen sich besser durch einen gemeinsamen Dritten erklären — etwa einen „digitalen Quartiermeister" — als durch das Zusammenwerfen aller dieser unterschiedlichen Aktivitäts-Cluster.
Ein zentraler Wissensspeicher chinesischer Bedrohungsgruppen würde laut Bitdefender auch eine eigene Beobachtung erklären: Sobald ein Werkzeug oder eine Technik bei einem Angriff eines chinesischen staatlich gesteuerten Akteurs auftauche, verbreite sie sich häufig zu anderen China-nahen Gruppen. „Entwickelt eine dieser Gruppen eine neue Technik, fangen wahrscheinlich alle an, sie zu kopieren", sagt Zugec.
Begünstigt wurde der Angriff durch mangelnde Cyberhygiene beim Opfer. Das nicht namentlich genannte Öl- und Gasunternehmen entdeckte den Angriff auf bestimmten Arbeitsplatzrechnern und bereinigte diese Systeme — der ursprüngliche Zugangsweg, ein verwundbarer Microsoft-Exchange-Server, wurde jedoch nicht behoben. In der Folge schlug FamousSparrow zwei weitere Male zu. Eine vollständige Aufarbeitung des Vorfalls und das Schließen der Schwachstellen hätten die Angreifer laut Zugec fernhalten können: „Dieser Angriff hätte verhindert werden können, wenn das Opfer die grundlegenden Sicherheitspraktiken befolgt hätte, die wir seit vielen Jahren vermitteln."