בשנה שעברה, מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) מצא גרסה של תוכנת הריגול SparrowDoor ברשת לא ידועה בבריטניה. היום פורסם ניתוח של הגרסה, שיכולה כעת לגנוב בין היתר נתונים מהלוח. בנוסף, הועמדו אינדיקטורים של פשרה וכללי יארה המאפשרים לארגונים לזהות את התוכנה הזדונית ברשת שלהם.
הגרסה הראשונה של SparrowDoor התגלתה על ידי חברת האנטי וירוס ESET ונאמר כי נעשה בה שימוש נגד בתי מלון ברחבי העולם, כמו גם נגד ממשלות. התוקפים השתמשו בפרצות ב-Microsoft Exchange, Microsoft SharePoint ו-Oracle Opera כדי לפרוץ לארגונים. הארגונים שנפגעו היו בין היתר בקנדה, ישראל, צרפת, ערב הסעודית, טייוואן, תאילנד ובריטניה. ESET לא חשפה את היעד המדויק של התוקפים.
ה-NCSC הבריטי אומר שהוא מצא גרסה של SparrowDoor ברשת בריטית בשנה שעברה. גרסה זו יכולה לגנוב נתונים מהלוח ובודקת מול רשימה מקודדת אם תוכנות אנטי-וירוס מסוימות פועלות. גרסה זו יכולה גם לחקות את אסימון חשבון המשתמש בעת הגדרת חיבורי רשת. סביר להניח ש"השדרוג לאחור" הזה נעשה כדי להיות לא בולט, מה שהיה יכול אם הוא היה מבצע תקשורת רשת תחת חשבון SYSTEM, למשל.
תכונה חדשה נוספת היא חטיפת שונות Windows פונקציות API. לא ברור מתי התוכנה הזדונית משתמשת ב-"API hooking" ו-"התחזות לסמל", אך לפי ה-NCSC הבריטי, התוקפים מקבלים החלטות אבטחה תפעוליות מודעות. פרטים נוספים על הרשת המותקפת או מי עומד מאחורי התוכנה הזדונית לא ניתנים.