Confuci APT

Confuci APT Description

Els primers signes d'activitat atribuïts a Confuci APT (Amenaça persistent avançada) es remunten al 2013. El col·lectiu de pirates informàtics ha estat actiu des d'aleshores amb l'última onada d'atacs que es va produir el desembre del 2020. Es creu fermament que Confuci està patrocinat i patrocinat per l'estat. ha mostrat llaços pro-Índia. Al llarg dels anys, els principals objectius es dirigeixen a les agències governamentals de la regió del sud-est asiàtic, militars pakistanesos, agències nuclears i funcionaris electorals de l'Índia.

El grup s'ha centrat principalment en el robatori de dades i les operacions de reconeixement i això ha donat forma al seu conjunt d'eines de programari maliciós. El primer que es va atribuir a Confuci va ser ChatSpy. Es va desplegar com a part d'una operació del 2017 i va actuar com a eina de vigilància. Entre el 2016 i el 2019, el grup es va dedicar al desenvolupament actiu del programari maliciós SunBird , una amenaça de programari espia d'Android amb capacitats ampliades. Tot i que la funcionalitat de SunBird també es va orientar al robatori de dades, inclosos els identificadors de dispositius, la ubicació GPS, les llistes de contactes, els registres de trucades, etc., es va dissenyar per orientar específicament a WhatsApp mitjançant l'extracció de documents, bases de dades i imatges de l'aplicació. A més, SunBird estava equipat amb una funcionalitat de troià d'accés remot (RAT) que va permetre a Confuci deixar caure càrregues de programari maliciós addicionals als dispositius ja compromesos.

L'última operació de Confuci es va observar el desembre de 2020 i va emprar una varietat de programari espia d'Android completament diferent. Anomenat Hornbill, mostrava l'evolució de les activitats del grup. De fet, l'abast de les capacitats de Hornbill es va reduir en comparació amb SunBird, però això va permetre que l'amenaça actués com una eina més discreta dissenyada per recollir selectivament dades de l'objectiu. Hornbill va perdre la funcionalitat RAT, però va obtenir la capacitat d'abusar de les funcions d'accessibilitat d'Android per detectar i gravar les trucades actives de WhatsApp.