Confucius APT

Os primeiros sinais de atividade atribuídos ao Confucius APT (Advanced Persistent Threat) datam de 2013. Esse coletivo de hackers está ativo desde então com a última onda de ataques ocorrendo em dezembro de 2020. Acredita-se fortemente que o Confucius é patrocinado pelo estado e exibiu laços pró-Índia. Ao longo dos anos, os principais alvos são agências governamentais da região do Sudeste Asiático, militares paquistaneses, agências nucleares e autoridades eleitorais indianas.

O grupo se concentrou principalmente em operações de roubo de dados e reconhecimento, o que moldou seu kit de ferramentas de malware. O primeiro a ser atribuído a Confucius foi ChatSpy. Foi implantado como parte de uma operação de 2017 e atuou como uma ferramenta de vigilância. Entre 2016 e 2019, o grupo esteve envolvido no desenvolvimento ativo do SunBird Malware, uma ameaça de spyware do Android com recursos expandidos. Embora a funcionalidade do SunBird também seja voltada para o roubo de dados, incluindo identificadores de dispositivos, localização GPS, listas de contatos, registros de chamadas, etc., foi projetado para atingir especificamente o WhatsApp, extraindo documentos, bancos de dados e imagens do aplicativo. Além disso, o SunBird foi equipado com a funcionalidade Remote Access Trojan (RAT) que permitiu ao Confucius soltar cargas de malware adicionais nos dispositivos já comprometidos.

A última operação do Confucius foi observada em dezembro de 2020 e empregava uma variedade de spyware do Android totalmente diferente. Batizado de Hornbill, ele mostrou a evolução das atividades do grupo. De fato, o escopo das capacidades do Hornbill foi reduzido quando comparado ao SunBird, mas isso permitiu que a ameaça agisse como uma ferramenta mais discreta projetada para coletar seletivamente dados do alvo. O Hornbill perdeu a funcionalidade RAT, mas ganhou a capacidade de abusar das funções de acessibilidade do Android para detectar e registrar chamadas ativas do WhatsApp.