Confucius APT

De første tegnene på aktivitet som tilskrives Confucius APT (Advanced Persistent Threat) dateres tilbake til 2013. Hackerkollektivet har vært aktivt siden da med den siste bølgen av angrep som fant sted i desember 2020. Det er en sterk oppfatning at Confucius er statsstøttet og har vist pro-India-bånd. Gjennom årene er hovedmålene offentlige etater fra Sørøst-Asia-regionen, pakistanske militærpersoner, atombyråer og indiske valgfunksjonærer.

Gruppen har hovedsakelig fokusert på datatyveri og rekognoseringsoperasjoner, og det har formet skadevareverktøysettet. Den første som ble tilskrevet Confucius var ChatSpy. Den ble utplassert som en del av en operasjon i 2017, og den fungerte som et overvåkingsverktøy. Mellom 2016 og 2019 var gruppen engasjert i den aktive utviklingen av SunBird Malware , en Android-spywaretrussel med utvidede muligheter. Selv om SunBirds funksjonalitet også var rettet mot datatyveri, inkludert enhetsidentifikatorer, GPS-plassering, kontaktlister, anropslogger, osv., ble den designet for spesifikt å målrette WhatsApp ved å trekke ut dokumenter, databaser og bilder fra applikasjonen. Videre var SunBird utstyrt med Remote Access Trojan (RAT) funksjonalitet som gjorde det mulig for Confucius å slippe ytterligere skadelig programvare på de allerede kompromitterte enhetene.

Den siste Confucius-operasjonen ble observert i desember 2020, og den brukte en helt annen Android-spyware-stamme. Den ble kalt Hornbill og viste utviklingen av gruppens aktiviteter. Omfanget av Hornbills evner ble faktisk redusert sammenlignet med SunBird, men det gjorde at trusselen kunne fungere som et mer diskret verktøy designet for selektivt å samle inn data fra målet. Hornbill mistet RAT-funksjonaliteten, men fikk muligheten til å misbruke Android-tilgjengelighetsfunksjonene for å oppdage og ta opp aktive WhatsApp-anrop.