Konfūcija APT

Pirmās aktivitātes pazīmes saistībā ar Konfūciju APT (Advanced Persistent Threat) datētas ar 2013. gadu. Hakeru kolektīvs ir bijis aktīvs kopš tā laika, un pēdējais uzbrukumu vilnis notika 2020. gada decembrī. Pastāv cieša pārliecība, ka Konfūcijs ir valsts atbalstīts un ir demonstrējis Indijas atbalstošas saites. Gadu gaitā galvenā mērķauditorija ir Dienvidaustrumāzijas reģiona valdības aģentūras, Pakistānas militārpersonas, kodolenerģijas aģentūras un Indijas vēlēšanu amatpersonas.

Grupa galvenokārt ir koncentrējusies uz datu zādzību un izlūkošanas operācijām, un tas ir veidojis tās ļaunprātīgas programmatūras rīku komplektu. Pirmais, kas tika piedēvēts Konfūcijam, bija ChatSpy. Tas tika izvietots kā daļa no 2017. gada operācijas, un tas darbojās kā uzraudzības instruments. No 2016. līdz 2019. gadam grupa aktīvi izstrādāja SunBird Malware — Android spiegprogrammatūras draudus ar paplašinātām iespējām. Lai gan SunBird funkcionalitāte arī bija vērsta uz datu zādzību, tostarp ierīces identifikatorus, GPS atrašanās vietu, kontaktu sarakstus, zvanu žurnālus utt., Tā tika izstrādāta, lai īpaši mērķētu uz WhatsApp, izvelkot dokumentus, datu bāzes un attēlus no lietojumprogrammas. Turklāt SunBird bija aprīkots ar attālās piekļuves Trojas (RAT) funkcionalitāti, kas ļāva Konfūcijam nomest papildu ļaunprātīgas programmatūras slodzes uz jau apdraudētajām ierīcēm.

Pēdējā Konfūcija operācija tika novērota 2020. gada decembrī, un tajā tika izmantots pavisam cits Android spiegprogrammatūras celms. Nosaukts Hornbill, tas parādīja grupas darbības attīstību. Patiešām, Hornbill iespēju apjoms tika samazināts, salīdzinot ar SunBird, taču tas ļāva apdraudējumam darboties kā diskrētākam rīkam, kas paredzēts datu selektīvai vākšanai no mērķa. Hornbill zaudēja RAT funkcionalitāti, bet ieguva iespēju ļaunprātīgi izmantot Android pieejamības funkcijas, lai noteiktu un ierakstītu aktīvos WhatsApp zvanus.