Konfucius APT

Prvé známky aktivity pripisovanej Konfuciovmu APT (Advanced Persistent Threat) sa datujú do roku 2013. Skupina hackerov je odvtedy aktívna, pričom posledná vlna útokov sa odohrala v decembri 2020. Pevne sa verí, že Konfucius je štátom podporovaný a prejavila proindické väzby. V priebehu rokov sa hlavné ciele zameriavajú na vládne agentúry z regiónu juhovýchodnej Ázie, pakistanských vojenských jednotlivcov, jadrové agentúry a indických volebných úradníkov.

Skupina sa zamerala najmä na kradnutie údajov a prieskumné operácie, čo formovalo jej súpravu malvérových nástrojov. Prvým, ktorý bol pripísaný Konfuciovi, bol ChatSpy. Bol nasadený ako súčasť operácie v roku 2017 a fungoval ako nástroj dohľadu. V rokoch 2016 až 2019 sa skupina zaoberala aktívnym vývojom SunBird Malware , spywarovej hrozby pre Android s rozšírenými možnosťami. Aj keď bola funkčnosť SunBird zameraná aj na krádež údajov vrátane identifikátorov zariadení, polohy GPS, zoznamov kontaktov, protokolov hovorov atď., bola navrhnutá tak, aby sa konkrétne zamerala na WhatsApp extrahovaním dokumentov, databáz a obrázkov z aplikácie. Okrem toho bol SunBird vybavený funkciou Remote Access Trojan (RAT), ktorá umožnila Konfuciusovi prepustiť ďalšie užitočné zaťaženie škodlivého softvéru na už napadnuté zariadenia.

Najnovšia operácia Konfucia bola pozorovaná v decembri 2020 a využívala úplne iný kmeň spywaru pre Android. Dostal názov Hornbill a ukázal vývoj aktivít skupiny. Rozsah schopností Hornbill bol v porovnaní so SunBird skutočne obmedzený, ale to umožnilo hrozbe pôsobiť ako diskrétnejší nástroj určený na selektívny zber údajov od cieľa. Hornbill stratil funkciu RAT, ale získal možnosť zneužívať funkcie dostupnosti systému Android na zisťovanie a zaznamenávanie aktívnych hovorov WhatsApp.