Confucius APT

Confucius APT Beskrivelse

De første tegn på aktivitet tilskrevet Confucius APT (Advanced Persistent Threat) dateres tilbage til 2013. Hacker-kollektivet har været aktiv siden da med den seneste bølge af angreb, der fandt sted i december 2020. Det menes stærkt, at Confucius er statsstøttet og har udstillet pro-Indien bånd. I årenes løb er hovedmålene regeringsagenturer fra Sydøstasien-regionen, pakistanske militærpersoner, nukleare agenturer og indiske valgembedsmænd.

Gruppen har primært fokuseret på datastjæling og rekognoscering, og det har formet dets malware-værktøjssæt. Den første, der blev tilskrevet Confucius, var ChatSpy. Det blev indsat som en del af en operation i 2017, og det fungerede som et overvågningsværktøj. Mellem 2016 og 2019 var gruppen engageret i den aktive udvikling af SunBird Malware, en Android-spywaretrussel med udvidede muligheder. Selvom SunBirds funktionalitet også var rettet mod datatyveri inklusive enhedsidentifikatorer, GPS-placering, kontaktlister, opkaldslister osv., Blev det designet til specifikt at målrette WhatsApp ved at udtrække dokumenter, databaser og billeder fra applikationen. Desuden var SunBird udstyret med Remote Access Trojan (RAT) -funktionalitet, der gjorde det muligt for Confucius at droppe yderligere malware-nyttelast på de allerede kompromitterede enheder.

Den seneste Confucius-operation blev observeret i december 2020, og den anvendte en helt anden Android-spywarestamme. Navngivet Hornbill, det viste udviklingen af gruppens aktiviteter. Faktisk blev omfanget af Hornbills kapaciteter reduceret sammenlignet med SunBird, men det tillod truslen at fungere som et mere diskret værktøj designet til selektivt at indsamle data fra målet. Hornbill mistede RAT-funktionaliteten, men fik muligheden for at misbruge Android-tilgængelighedsfunktionerne til at opdage og registrere aktive WhatsApp-opkald.