Confucius APT

I primi segni di attività attribuiti a Confucius APT (Advanced Persistent Threat) risalgono al 2013. Il collettivo di hacker è attivo da allora con l'ultima ondata di attacchi avvenuta nel dicembre 2020. Si ritiene fermamente che Confucius sia sponsorizzato dallo stato e ha esibito legami pro-India. Nel corso degli anni i principali obiettivi sono le agenzie governative della regione del sud-est asiatico, militari pakistani, agenzie nucleari e funzionari elettorali indiani.

Il gruppo si è concentrato principalmente sul furto di dati e sulle operazioni di ricognizione e questo ha plasmato il suo toolkit malware. Il primo ad essere attribuito a Confucius è stato ChatSpy. È stato dispiegato come parte di un'operazione del 2017 e ha agito come strumento di sorveglianza. Tra il 2016 e il 2019, il gruppo è stato impegnato nello sviluppo attivo di SunBird Malware, una minaccia spyware Android con funzionalità estese. Sebbene la funzionalità di SunBird fosse anche orientata al furto di dati, inclusi identificatori di dispositivi, posizione GPS, elenchi di contatti, registri delle chiamate, ecc., È stata progettata per indirizzare specificamente WhatsApp estraendo documenti, database e immagini dall'applicazione. Inoltre, SunBird era dotato della funzionalità RAT (Remote Access Trojan) che consentiva a Confucius di rilasciare payload aggiuntivi di malware sui dispositivi già compromessi.

L'ultima operazione di Confucius è stata osservata nel dicembre 2020 e utilizzava un ceppo di spyware Android completamente diverso. Chiamato Hornbill, mostrava l'evoluzione delle attività del gruppo. In effetti, la portata delle capacità di Hornbill è stata ridotta rispetto a SunBird, ma ciò ha consentito alla minaccia di agire come uno strumento più discreto progettato per raccogliere selettivamente i dati dal bersaglio. Hornbill ha perso la funzionalità RAT ma ha acquisito la capacità di abusare delle funzioni di accessibilità di Android per rilevare e registrare le chiamate WhatsApp attive.