Á síðasta ári fann National Cyber Security Center í Bretlandi (NCSC) afbrigði af njósnaspilliforritinu SparrowDoor á ótilgreindu neti í Bretlandi. Í dag var birt greining á afbrigðinu sem getur nú meðal annars stolið gögnum af klemmuspjaldinu. Að auki hafa vísbendingar um málamiðlun og Yara reglur verið aðgengilegar sem gera fyrirtækjum kleift að greina spilliforritið innan eigin nets.
Fyrsta útgáfan af SparrowDoor var uppgötvað af vírusvarnarfyrirtækinu ESET og er sögð hafa verið notuð gegn hótelum um allan heim, sem og gegn stjórnvöldum. Árásarmennirnir notuðu veikleika í Microsoft Exchange, Microsoft SharePoint og Oracle Opera til að brjótast inn í fyrirtæki. Samtök sem urðu fyrir áhrifum voru meðal annars í Kanada, Ísrael, Frakklandi, Sádi-Arabíu, Taívan, Tælandi og Bretlandi. ESET gaf ekki upp nákvæmlega markmið árásarmannanna.
Breska NCSC segist hafa fundið afbrigði af SparrowDoor á bresku neti á síðasta ári. Þessi útgáfa getur stolið gögnum af klemmuspjaldinu og athugar með harðkóðaðan lista hvort ákveðinn vírusvarnarhugbúnaður sé í gangi. Þetta afbrigði getur einnig líkt eftir notandareikningslykilinn þegar þú setur upp nettengingar. Það er líklegt að þessi „niðurfærsla“ sé gerð til að vera lítt áberandi, sem hún gæti ef hún væri til dæmis í netsamskiptum undir SYSTEM reikningnum.
Annar nýr eiginleiki er ræning á ýmsum Windows API aðgerðir. Ekki er ljóst hvenær spilliforritið notar „API hooking“ og „token impersonation“, en samkvæmt breska NCSC eru árásarmennirnir að taka meðvitaðar ákvarðanir um rekstraröryggi. Frekari upplýsingar um netkerfið sem ráðist var á eða hverjir standa á bak við spilliforritið eru ekki gefnar upp.