L'any passat, el National Cyber Security Center (NCSC) del Regne Unit va trobar una variant del programari maliciós espia SparrowDoor en una xarxa no revelada del Regne Unit. Avui s'ha publicat una anàlisi de la variant, que ara pot robar dades del porta-retalls, entre altres coses. A més, s'han posat a disposició indicadors de compromís i regles Yara que permeten a les organitzacions detectar el programari maliciós dins de la seva pròpia xarxa.
La primera versió de SparrowDoor va ser descoberta per l'empresa antivirus ESET i es diu que es va utilitzar contra hotels de tot el món, així com contra governs. Els atacants van utilitzar vulnerabilitats a Microsoft Exchange, Microsoft SharePoint i Oracle Opera per entrar a les organitzacions. Les organitzacions afectades van ser al Canadà, Israel, França, l'Aràbia Saudita, Taiwan, Tailàndia i el Regne Unit, entre d'altres. ESET no va revelar l'objectiu exacte dels atacants.
El NCSC britànic diu que l'any passat va trobar una variant de SparrowDoor a una xarxa britànica. Aquesta versió pot robar dades del porta-retalls i comprovar amb una llista codificada si s'està executant cert programari antivirus. Aquesta variant també pot imitar el testimoni del compte d'usuari quan es configuren connexions de xarxa. És probable que aquesta "downgrade" es faci de manera discreta, cosa que podria ser si estigués realitzant comunicacions de xarxa amb el compte SYSTEM, per exemple.
Una altra característica nova és el segrest de diversos Windows Funcions de l'API. No està clar quan el programari maliciós utilitza "enganxament d'API" i "suplantació de testimoni", però segons l'NCSC britànic, els atacants estan prenent decisions de seguretat operativa conscients. No es donen més detalls sobre la xarxa atacada o qui està darrere del programari maliciós.