Konfutse APT

Ensimmäiset merkit Konfutsen APT:n (Advanced Persistent Threat) aiheuttamasta toiminnasta ovat peräisin vuodelta 2013. Hakkerikollektiivi on ollut aktiivinen siitä lähtien, ja viimeisin hyökkäysaalto tapahtui joulukuussa 2020. Uskotaan vahvasti, että Konfutse on valtion tukema ja on osoittanut Intia-myönteisiä siteitä. Vuosien ajan pääkohteena ovat Kaakkois-Aasian valtion virastot, pakistanilaiset sotilaat, ydinvoimavirastot ja Intian vaalivirkailijat.

Ryhmä on keskittynyt pääasiassa tietojen varastus- ja tiedustelutoimintaan, ja se on muokannut sen haittaohjelmien työkalupakkia. Ensimmäinen Kungfutsen syyksi luettava henkilö oli ChatSpy. Se otettiin käyttöön osana vuoden 2017 operaatiota ja se toimi valvontatyökaluna. Vuosina 2016–2019 ryhmä kehitti aktiivisesti SunBird Malwarea , Android-vakoiluohjelmauhkaa laajennetulla toiminnallisuudella. Vaikka SunBirdin toiminnot oli myös suunnattu tietovarkauksiin, mukaan lukien laitetunnisteet, GPS-sijainti, yhteystietoluettelot, puhelulokit jne., se on suunniteltu erityisesti kohdistamaan WhatsAppiin poimimalla asiakirjoja, tietokantoja ja kuvia sovelluksesta. Lisäksi SunBird oli varustettu Remote Access Trojan (RAT) -toiminnolla, jonka avulla Konfutse pystyi pudottamaan ylimääräisiä haittaohjelmia jo vaarantuneille laitteille.

Viimeisin Konfutse-operaatio havaittiin joulukuussa 2020 ja se käytti täysin erilaista Android-spyware-kantaa. Hornbill-niminen se osoitti ryhmän toiminnan kehitystä. Itse asiassa Hornbillin kykyjen laajuus oli pienempi verrattuna SunBirdiin, mutta tämä antoi uhan toimia huomaamattomampana työkaluna, joka oli suunniteltu keräämään valikoivasti tietoja kohteesta. Hornbill menetti RAT-toiminnon, mutta sai mahdollisuuden käyttää väärin Androidin esteettömyystoimintoja havaitakseen ja tallentaakseen aktiiviset WhatsApp-puhelut.