Konfutsiuse APT

Esimesed märgid Konfutsiuse APT-le (Advanced Persistent Threat) omistatud aktiivsusest pärinevad aastast 2013. Häkkerite kollektiiv on sellest ajast peale olnud aktiivne, viimane rünnakulaine leidis aset detsembris 2020. Usutakse kindlalt, et Konfutsius on riiklikult toetatud ja on näidanud India-meelseid sidemeid. Läbi aastate on nende sihtmärgiks olnud Kagu-Aasia piirkonna valitsusasutused, Pakistani sõjaväelased, tuumaagentuurid ja India valimisametnikud.

Grupp on keskendunud peamiselt andmete varastamise ja luureoperatsioonidele ning see on kujundanud selle pahavara tööriistakomplekti. Esimene, mis Konfutsiusele omistati, oli ChatSpy. Seda kasutati 2017. aasta operatsiooni osana ja see toimis järelevalvevahendina. Aastatel 2016–2019 tegeles grupp SunBirdi pahavara aktiivse arendamisega, laiendatud võimalustega Androidi nuhkvaraohuga. Kuigi SunBirdi funktsioon oli suunatud ka andmete vargustele, sealhulgas seadme identifikaatoritele, GPS-i asukohale, kontaktiloenditele, kõnelogidele jne, oli see mõeldud spetsiaalselt WhatsAppi sihtimiseks, eraldades rakendusest dokumente, andmebaase ja pilte. Lisaks oli SunBird varustatud kaugjuurdepääsu trooja (RAT) funktsiooniga, mis võimaldas Confuciusel juba ohustatud seadmetele täiendavat pahavarakoormust maha jätta.

Viimast Konfutsiuse operatsiooni täheldati 2020. aasta detsembris ja see kasutas täiesti erinevat Androidi nuhkvaratüve. Nimega Hornbill näitas see rühma tegevuse arengut. Tõepoolest, Hornbilli võimaluste ulatus oli SunBirdiga võrreldes väiksem, kuid see võimaldas ohul toimida diskreetsema tööriistana, mis on loodud sihtmärgilt andmete valikuliseks kogumiseks. Hornbill kaotas RAT-i funktsiooni, kuid sai võimaluse kuritarvitada Androidi juurdepääsetavuse funktsioone, et tuvastada ja salvestada aktiivseid WhatsAppi kõnesid.