Confucius APT

Pierwsze oznaki aktywności przypisywane Konfucjuszowi APT (Advanced Persistent Threat) pochodzą z 2013 roku. Od tego czasu kolektyw hakerów jest aktywny, a ostatnia fala ataków miała miejsce w grudniu 2020 roku. Zdecydowanie uważa się, że Konfucjusz jest sponsorowany przez państwo i wykazywał związki proindyjskie. Przez lata głównymi celami były agencje rządowe z regionu Azji Południowo-Wschodniej, pakistańscy wojskowi, agencje nuklearne i indyjscy urzędnicy wyborczy.

Grupa skupiła się głównie na kradzieży danych i operacjach rozpoznawczych, co ukształtowało jej zestaw narzędzi do złośliwego oprogramowania. Pierwszym przypisywanym Konfucjuszowi był ChatSpy. Został wdrożony w ramach operacji w 2017 roku i działał jako narzędzie nadzoru. W latach 2016-2019 grupa była zaangażowana w aktywny rozwój SunBird Malware, zagrożenia spyware na Androida o rozszerzonych możliwościach. Chociaż funkcjonalność SunBird była również nastawiona na kradzież danych, w tym identyfikatory urządzeń, lokalizację GPS, listy kontaktów, dzienniki połączeń itp., została zaprojektowana specjalnie z myślą o WhatsApp poprzez wyodrębnianie dokumentów, baz danych i obrazów z aplikacji. Co więcej, SunBird został wyposażony w funkcję trojana zdalnego dostępu (RAT), która umożliwiła Confuciusowi zrzucanie dodatkowych szkodliwych programów na już zhakowane urządzenia.

Najnowsza operacja Confucius została zaobserwowana w grudniu 2020 r. i wykorzystywała zupełnie inny szczep oprogramowania szpiegującego na Androida. Nazwany Hornbill, ukazywał ewolucję działalności grupy. Rzeczywiście, zakres możliwości dzioborożca został ograniczony w porównaniu z SunBird, ale to pozwoliło zagrożeniu działać jako bardziej dyskretne narzędzie zaprojektowane do selektywnego zbierania danych od celu. Dzioborożec stracił funkcjonalność RAT, ale zyskał możliwość nadużywania funkcji ułatwień dostępu Androida do wykrywania i rejestrowania aktywnych połączeń WhatsApp.