Minulý rok britské Národné centrum pre kybernetickú bezpečnosť (NCSC) našlo variant špionážneho malvéru SparrowDoor v nezverejnenej britskej sieti. Dnes bol zverejnený rozbor variantu, ktorý už dokáže okrem iného kradnúť dáta zo schránky. Okrem toho boli sprístupnené indikátory kompromisu a pravidlá Yara, ktoré organizáciám umožňujú odhaliť malvér v rámci ich vlastnej siete.
Prvú verziu SparrowDoor objavila antivírusová spoločnosť ESET a hovorí sa, že bola použitá proti hotelom po celom svete, ako aj proti vládam. Útočníci použili zraniteľné miesta v Microsoft Exchange, Microsoft SharePoint a Oracle Opera na prienik do organizácií. Postihnuté organizácie boli okrem iného v Kanade, Izraeli, Francúzsku, Saudskej Arábii, Taiwane, Thajsku a Spojenom kráľovstve. Presný cieľ útočníkov ESET nezverejnil.
Britská NCSC tvrdí, že minulý rok našla v britskej sieti variant SparrowDoor. Táto verzia môže ukradnúť údaje zo schránky a porovná s pevne zakódovaným zoznamom, či je spustený určitý antivírusový softvér. Tento variant môže tiež napodobňovať token používateľského účtu pri nastavovaní sieťových pripojení. Je pravdepodobné, že tento „downgrade“ sa vykonáva nenápadne, čo by mohol, ak by napríklad vykonával sieťovú komunikáciu pod účtom SYSTEM.
Ďalšou novinkou je únos rôznych Windows API funkcie. Nie je jasné, kedy malvér používa „hákovanie API“ a „odcudzenie identity“, ale podľa britskej NCSC útočníci robia vedomé rozhodnutia o prevádzkovej bezpečnosti. Ďalšie podrobnosti o napadnutej sieti alebo o tom, kto stojí za malvérom, nie sú uvedené.