Konfucius APT

První známky aktivity připisované Confuciovi APT (Advanced Persistent Threat) se datují do roku 2013. Od té doby je skupina hackerů aktivní, přičemž poslední vlna útoků proběhla v prosinci 2020. Pevně se věří, že Konfucius je státem sponzorovaný a projevil proindické vazby. V průběhu let se hlavní cíle zaměřují na vládní agentury z regionu jihovýchodní Asie, pákistánské vojenské jednotlivce, jaderné agentury a indické volební úředníky.

Skupina se soustředila především na krádeže dat a průzkumné operace, což formovalo její malwarovou sadu nástrojů. První, kdo byl připisován Konfuciovi, byl ChatSpy. Byl nasazen jako součást operace v roce 2017 a fungoval jako nástroj sledování. V letech 2016 až 2019 se skupina zabývala aktivním vývojem SunBird Malware , spywarové hrozby pro Android s rozšířenými možnostmi. Přestože byla funkce SunBird zaměřena také na krádež dat, včetně identifikátorů zařízení, polohy GPS, seznamů kontaktů, protokolů hovorů atd., byla navržena tak, aby specificky cílila na WhatsApp extrahováním dokumentů, databází a obrázků z aplikace. SunBird byl navíc vybaven funkcí Remote Access Trojan (RAT), která umožnila Konfuciovi upustit další malware na již napadená zařízení.

Poslední Konfuciova operace byla pozorována v prosinci 2020 a používala zcela jiný druh spywaru pro Android. Dostal název Hornbill a ukázal vývoj aktivit skupiny. Rozsah schopností Hornbillu byl ve srovnání se SunBird skutečně omezen, ale to umožnilo hrozbě fungovat jako diskrétnější nástroj určený k selektivnímu sběru dat od cíle. Hornbill ztratil funkci RAT, ale získal možnost zneužít funkce pro usnadnění přístupu Android k detekci a nahrávání aktivních hovorů WhatsApp.