Confucius APT

Primele semne de activitate atribuite lui Confucius APT (Advanced Persistent Threat) datează din 2013. Colectivul de hackeri este activ de atunci, cel mai recent val de atacuri având loc în decembrie 2020. Se crede cu tărie că Confucius este sponsorizat de stat și a dat dovadă de legături pro-India. De-a lungul anilor, principalele ținte agențiile guvernamentale din regiunea Asiei de Sud-Est, militarii pakistanezi, agențiile nucleare și oficialii electorali indieni.

Grupul s-a concentrat în principal pe operațiunile de furt de date și de recunoaștere, ceea ce și-a modelat setul de instrumente malware. Primul care i-a fost atribuit lui Confucius a fost ChatSpy. A fost desfășurat ca parte a unei operațiuni din 2017 și a acționat ca un instrument de supraveghere. Între 2016 și 2019, grupul a fost implicat în dezvoltarea activă a SunBird Malware , o amenințare spyware Android cu capabilități extinse. Deși funcționalitatea SunBird a fost, de asemenea, orientată spre furtul de date, inclusiv identificatorii dispozitivului, locația GPS, liste de contacte, jurnalele de apeluri etc., a fost concepută pentru a viza în mod specific WhatsApp prin extragerea de documente, baze de date și imagini din aplicație. În plus, SunBird a fost echipat cu funcționalitate Remote Access Trojan (RAT) care i-a permis lui Confucius să elimine încărcături suplimentare de malware pe dispozitivele deja compromise.

Cea mai recentă operațiune Confucius a fost observată în decembrie 2020 și a folosit o tulpină complet diferită de program spion Android. Numit Hornbill, a arătat evoluția activităților grupului. Într-adevăr, sfera capabilităților Hornbill a fost redusă în comparație cu SunBird, dar asta a permis amenințării să acționeze ca un instrument mai discret conceput pentru a colecta selectiv date de la țintă. Hornbill a pierdut funcționalitatea RAT, dar a câștigat capacitatea de a abuza de funcțiile de accesibilitate Android pentru a detecta și înregistra apelurile active WhatsApp.