Конфуций АПТ

Первые признаки активности, приписываемые Confucius APT (Advanced Persistent Threat), относятся к 2013 году. С тех пор коллектив хакеров проявляет активность, и последняя волна атак произошла в декабре 2020 года. Существует твердое мнение, что Confucius спонсируется государством и демонстрировал проиндийские связи. На протяжении многих лет основными целями являются правительственные учреждения из региона Юго-Восточной Азии, пакистанские военные, ядерные агентства и представители индийских избирательных комиссий.

Группа в основном сосредоточилась на краже данных и разведывательных операциях, что сформировало ее набор вредоносных программ. Первым, кого приписали Конфуцию, был ChatSpy. Он был развернут в рамках операции 2017 года и действовал как инструмент наблюдения. В период с 2016 по 2019 год группа занималась активной разработкой SunBird Malware — шпионской угрозы для Android с расширенными возможностями. Хотя функциональность SunBird также была направлена на кражу данных, включая идентификаторы устройств, местоположение GPS, списки контактов, журналы вызовов и т. д., она была разработана специально для WhatsApp путем извлечения документов, баз данных и изображений из приложения. Кроме того, SunBird был оснащен функциональными возможностями троянов удаленного доступа (RAT), которые позволяли Confucius сбрасывать дополнительные вредоносные программы на уже скомпрометированные устройства.

Последняя операция Конфуция наблюдалась в декабре 2020 года, и в ней использовалась совершенно другая разновидность шпионского ПО для Android. Названный Hornbill, он показал эволюцию деятельности группы. Действительно, объем возможностей Hornbill был меньше по сравнению с SunBird, но это позволило угрозе действовать как более незаметный инструмент, предназначенный для выборочного сбора данных от цели. Hornbill потерял функциональность RAT, но получил возможность злоупотреблять специальными функциями Android для обнаружения и записи активных вызовов WhatsApp.