کنفوسیوس APT

اولین نشانه‌های فعالیت منتسب به کنفوسیوس APT (تهدید دائمی پیشرفته) به سال 2013 بازمی‌گردد. گروه هکرها از آن زمان با آخرین موج حملات در دسامبر 2020 فعال بوده است. اعتقاد قوی بر این است که کنفوسیوس توسط دولت حمایت می‌شود و روابط طرفدار هند را به نمایش گذاشته است. در طول سال‌ها، هدف اصلی سازمان‌های دولتی از منطقه جنوب شرقی آسیا، افراد نظامی پاکستان، آژانس‌های هسته‌ای و مقامات انتخاباتی هند است.

این گروه عمدتاً بر روی سرقت داده ها و عملیات شناسایی متمرکز شده است و همین امر به جعبه ابزار بدافزار آن شکل داده است. اولین موردی که به کنفوسیوس نسبت داده شد ChatSpy بود. این به عنوان بخشی از عملیات سال 2017 مستقر شد و به عنوان یک ابزار نظارتی عمل کرد. بین سال‌های 2016 تا 2019، این گروه درگیر توسعه فعال بدافزار SunBird ، یک تهدید جاسوس‌افزار اندرویدی با قابلیت‌های گسترده بود. اگرچه عملکرد SunBird نیز به سمت سرقت داده‌ها از جمله شناسه‌های دستگاه، مکان GPS، لیست تماس‌ها، گزارش تماس‌ها و غیره می‌رفت، اما برای هدف قرار دادن واتس‌اپ با استخراج اسناد، پایگاه‌های داده و تصاویر از برنامه طراحی شده بود. علاوه بر این، SunBird به عملکرد تروجان دسترسی از راه دور (RAT) مجهز شد که به کنفوسیوس اجازه می‌داد تا بارهای بدافزار اضافی را روی دستگاه‌های در معرض خطر قرار دهد.

آخرین عملیات کنفوسیوس در دسامبر 2020 مشاهده شد و از یک نوع نرم افزار جاسوسی اندروید کاملاً متفاوت استفاده کرد. این فیلم که Hornbill نام داشت، سیر تحول فعالیت های گروه را نشان می داد. در واقع، دامنه قابلیت‌های Hornbill در مقایسه با SunBird کاهش یافته بود، اما این امکان را به تهدید داد که به عنوان ابزار محتاطانه‌تری عمل کند که برای جمع‌آوری انتخابی داده‌ها از هدف طراحی شده است. Hornbill عملکرد RAT را از دست داد، اما این توانایی را به دست آورد که از عملکردهای دسترسی اندروید برای شناسایی و ضبط تماس‌های فعال WhatsApp سوء استفاده کند.