Konfuciusz APT

A Konfuciusz APT-nek (Advanced Persistent Threat) tulajdonított tevékenység első jelei 2013-ra nyúlnak vissza. A hackerkollektíva azóta is aktív, a legutóbbi támadási hullám 2020 decemberében zajlott. India-párti kapcsolatokat mutatott be. Az évek során a fő célpontok a délkelet-ázsiai régió kormányzati szervei, pakisztáni katonai egyének, nukleáris ügynökségek és indiai választási tisztviselők.

A csoport elsősorban az adatlopási és felderítési műveletekre összpontosított, és ez alakította ki malware eszköztárát. Az első, akit Konfuciusznak tulajdonítottak, a ChatSpy volt. Egy 2017-es művelet részeként telepítették, és felügyeleti eszközként működött. 2016 és 2019 között a csoport a SunBird Malware aktív fejlesztésével foglalkozott, amely egy kibővített képességekkel rendelkező Android spyware fenyegetés. Bár a SunBird funkciói szintén az adatlopásra irányultak, beleértve az eszközazonosítókat, a GPS-helyszínt, a névjegyzékeket, a hívásnaplókat stb., de úgy tervezték, hogy kifejezetten a WhatsApp megcélzására szolgáljon dokumentumok, adatbázisok és képek kinyerésével az alkalmazásból. Ezenkívül a SunBird távelérési trójai (RAT) funkcióval is rendelkezik, amely lehetővé tette Confucius számára, hogy további rosszindulatú programokat dobjon le a már feltört eszközökön.

A legutóbbi Konfuciusz-műveletet 2020 decemberében figyelték meg, és teljesen más Android-spyware-törzset alkalmazott. Hornbill néven mutatta be a csoport tevékenységének alakulását. Valójában a Hornbill képességei csökkentek a SunBirdhez képest, de ez lehetővé tette, hogy a fenyegetés diszkrétebb eszközként működjön, amelyet arra terveztek, hogy szelektíven gyűjtsön adatokat a célpontról. A Hornbill elvesztette a RAT funkcióját, de képessé vált arra, hogy visszaéljen az Android kisegítő lehetőségeivel az aktív WhatsApp hívások észlelésére és rögzítésére.