לדברי חוקרי אבטחה של גוגל, חברה מברצלונה הממתגת את עצמה כספקית פתרונות אבטחה מותאמים אישית, ניצלה חולשות אבטחה ב- Windows והשתמשה בדפדפני Chrome ו- Firefox כדי לשתול רוגלות. במחקר ששותף עם אתר TechCrunch, טוענת קבוצת ניתוח האיומים של גוגל (TAG) אומרת שהיא קישרה את חברת Variston IT המתיימרת להציע פתרונות אבטחת סייבר מותאמים אישית, למערך פעילות המאפשר התקנת רוגלות במכשירים ממוקדים.
חוקרי גוגל התוודעו לפעילות הריגול המכונה Heliconia לאחר שקיבלו הגשה אנונימית לתוכנית דיווח הבאגים שלה בדפדפן כרום. במהלך ניתוח הדברים, מצאו חוקרי גוגל רמזים בקוד המקור המצביעים על כך שחברת Variston IT היא המפתח הסביר לפעילות הניצול. Heliconia מורכבת משלוש מסגרות ניצול נפרדות: אחת המכילה ניצול באג במעבד דפדפן כרום המאפשר לה לצאת ממסגרת ארגז החול של האפליקציה כדי להפעיל תוכנות זדוניות במערכת ההפעלה; אחרת פורסת מסמך PDF זדוני המכיל ניצול עבור Windows Defender – מנוע האנטי וירוס המוגדר כברירת מחדל בגרסאות עדכניות של Windows; ומסגרת נוספת המכילה ניצול דפדפן פיירפוקס במכונות Windows ו- Linux. גוגל מציינת שהניצול של Heliconia יעיל נגד גרסאות פיירפוקס 64 עד 68, מה שמרמז שהניצול היה בשימוש כבר בדצמבר 2018, כאשר פיירפוקס 64 שוחרר לראשונה.
גוגל טענה בפוסט בבלוג שלה כי תוכנות ריגול מסחריות כמו מסגרת Heliconia, מכילות יכולות שפעם היו זמינות רק לממשלות. יכולות אלו כוללות הקלטת אודיו בגניבה, ביצוע או הפנייה מחדש של שיחות טלפון וגניבת נתונים כגון הודעות טקסט, יומני שיחות, אנשי קשר ונתוני מיקום GPS: "הצמיחה של תעשיית תוכנות הריגול מסכנת את המשתמשים והופכת את האינטרנט לפחות בטוח ולמרות שטכנולוגיית מעקב עשויה להיות חוקית לפי חוקים לאומיים או בינלאומיים, היא משמשת לעתים קרובות בדרכים מזיקות לניהול ריגול דיגיטלי נגד מגוון קבוצות" אמרו בגוגל והוסיפו: "ניצולים אלו מהווים סיכון רציני לבטיחות המקוונת ולכן גוגל ו- TAG ימשיכו לפעול נגדם ולפרסם מחקרים על תעשיית תוכנות הריגול המסחריות".
מנהל ה- IT של Variston, ראלף וגנר, אמר לאתר TechCrunch שהחברה לא הייתה מודעת למחקר של גוגל ואינה יכולה לאמת את הממצאים שלה, אבל יופתע אם יהיו ממצאים לחקירה.
