Confucius APT

Confucius APT Description

Tanda-tanda pertama aktiviti yang dikaitkan dengan Confucius APT (Advanced Persistent Threat) bermula sejak 2013. Kolektif penggodam telah aktif sejak itu dengan gelombang serangan terbaru berlaku pada Disember 2020. Adalah dipercayai bahawa Confucius adalah tajaan kerajaan dan telah mempamerkan hubungan pro-India. Sepanjang tahun sasaran utama agensi kerajaan dari rantau Asia Tenggara, individu tentera Pakistan, agensi nuklear dan pegawai pilihan raya India.

Kumpulan itu memberi tumpuan terutamanya pada operasi mencuri data dan peninjauan dan itu telah membentuk kit alat perisian hasadnya. Yang pertama dikaitkan dengan Confucius ialah ChatSpy. Ia telah digunakan sebagai sebahagian daripada operasi 2017 dan ia bertindak sebagai alat pengawasan. Antara 2016 dan 2019, kumpulan itu terlibat dalam pembangunan aktif SunBird Malware , ancaman perisian intip Android dengan keupayaan yang diperluaskan. Walaupun kefungsian SunBird juga ditujukan kepada kecurian data termasuk pengecam peranti, lokasi GPS, senarai kenalan, log panggilan, dll, ia telah direka untuk menyasarkan WhatsApp secara khusus dengan mengekstrak dokumen, pangkalan data dan imej daripada aplikasi. Tambahan pula, SunBird dilengkapi dengan fungsi Remote Access Trojan (RAT) yang membenarkan Confucius menurunkan muatan perisian hasad tambahan pada peranti yang telah terjejas.

Operasi Confucius terbaharu diperhatikan pada Disember 2020 dan ia menggunakan regangan perisian pengintip Android yang sama sekali berbeza. Dinamakan Hornbill, ia menunjukkan evolusi aktiviti kumpulan itu. Sesungguhnya, skop keupayaan Hornbill dikurangkan jika dibandingkan dengan SunBird tetapi itu membenarkan ancaman bertindak sebagai alat yang lebih bijak yang direka untuk mengumpul data secara terpilih daripada sasaran. Hornbill kehilangan fungsi RAT tetapi mendapat keupayaan untuk menyalahgunakan fungsi kebolehcapaian Android untuk mengesan dan merekodkan panggilan WhatsApp aktif.