קונפוציוס APT

הסימנים הראשונים לפעילות המיוחסים לקונפוציוס APT (Advanced Persistent Threat) מתוארכים לשנת 2013. קולקטיב ההאקרים פעיל מאז עם גל ההתקפות האחרון שהתרחש בדצמבר 2020. מאמינים מאוד שקנפוציוס הוא בחסות המדינה הציג קשרים פרו-הודו. לאורך השנים, הכוונה העיקרית היא לסוכנויות ממשלתיות מאזור דרום מזרח אסיה, לאנשי צבא פקיסטניים, לסוכנויות גרעיניות ולפקידי בחירות בהודו.

הקבוצה התמקדה בעיקר בפעולות גניבת נתונים וסיור וזה עיצב את ערכת הכלים של תוכנות זדוניות שלה. הראשון שיוחס לקונפוציוס היה ChatSpy. הוא נפרס כחלק ממבצע ב-2017 והוא שימש ככלי מעקב. בין 2016 ל-2019, הקבוצה עסקה בפיתוח פעיל של SunBird Malware , איום תוכנת ריגול אנדרואיד עם יכולות מורחבות. למרות שהפונקציונליות של SunBird נועדה גם לגניבת נתונים כולל מזהי מכשירים, מיקום GPS, רשימות אנשי קשר, יומני שיחות וכו', היא תוכננה לכוון ספציפית ל-WhatsApp על ידי חילוץ מסמכים, מסדי נתונים ותמונות מהאפליקציה. יתר על כן, SunBird צוידה בפונקציונליות של גישה טרויאנית מרחוק (RAT) שאפשרה לקונפוציוס להוריד עומסי תוכנה זדונית נוספים על המכשירים שכבר נפגעו.

פעולת קונפוציוס האחרונה נצפתה בדצמבר 2020 והיא השתמשה בזן תוכנות ריגול אנדרואיד שונה לחלוטין. בשם הורנביל, הוא הראה את התפתחות הפעילות של הקבוצה. אכן, היקף היכולות של הורנביל הצטמצם בהשוואה ל-SunBird אבל זה אפשר לאיום לפעול ככלי דיסקרטי יותר שנועד לאסוף נתונים סלקטיביים מהמטרה. Hornbill איבד את פונקציונליות ה-RAT אך השיג את היכולת להשתמש לרעה בפונקציות הנגישות של אנדרואיד כדי לזהות ולהקליט שיחות WhatsApp פעילות.