کنفوسیوس APT
اولین نشانههای فعالیت منتسب به کنفوسیوس APT (تهدید دائمی پیشرفته) به سال 2013 بازمیگردد. گروه هکرها از آن زمان با آخرین موج حملات در دسامبر 2020 فعال بوده است. اعتقاد قوی بر این است که کنفوسیوس توسط دولت حمایت میشود و روابط طرفدار هند را به نمایش گذاشته است. در طول سالها، هدف اصلی سازمانهای دولتی از منطقه جنوب شرقی آسیا، افراد نظامی پاکستان، آژانسهای هستهای و مقامات انتخاباتی هند است.
این گروه عمدتاً بر روی سرقت داده ها و عملیات شناسایی متمرکز شده است و همین امر به جعبه ابزار بدافزار آن شکل داده است. اولین موردی که به کنفوسیوس نسبت داده شد ChatSpy بود. این به عنوان بخشی از عملیات سال 2017 مستقر شد و به عنوان یک ابزار نظارتی عمل کرد. بین سالهای 2016 تا 2019، این گروه درگیر توسعه فعال بدافزار SunBird ، یک تهدید جاسوسافزار اندرویدی با قابلیتهای گسترده بود. اگرچه عملکرد SunBird نیز به سمت سرقت دادهها از جمله شناسههای دستگاه، مکان GPS، لیست تماسها، گزارش تماسها و غیره میرفت، اما برای هدف قرار دادن واتساپ با استخراج اسناد، پایگاههای داده و تصاویر از برنامه طراحی شده بود. علاوه بر این، SunBird به عملکرد تروجان دسترسی از راه دور (RAT) مجهز شد که به کنفوسیوس اجازه میداد تا بارهای بدافزار اضافی را روی دستگاههای در معرض خطر قرار دهد.
آخرین عملیات کنفوسیوس در دسامبر 2020 مشاهده شد و از یک نوع نرم افزار جاسوسی اندروید کاملاً متفاوت استفاده کرد. این فیلم که Hornbill نام داشت، سیر تحول فعالیت های گروه را نشان می داد. در واقع، دامنه قابلیتهای Hornbill در مقایسه با SunBird کاهش یافته بود، اما این امکان را به تهدید داد که به عنوان ابزار محتاطانهتری عمل کند که برای جمعآوری انتخابی دادهها از هدف طراحی شده است. Hornbill عملکرد RAT را از دست داد، اما این توانایی را به دست آورد که از عملکردهای دسترسی اندروید برای شناسایی و ضبط تماسهای فعال WhatsApp سوء استفاده کند.