Konfucij APT

Prvi znaki dejavnosti, ki se pripisujejo Confucius APT (Advanced Persistent Threat), segajo v leto 2013. Hekerski kolektiv je aktiven od takrat, zadnji val napadov pa se je zgodil decembra 2020. Močno je prepričano, da Konfucij sponzorira država in je pokazal proindijske vezi. Skozi leta so glavni cilji vladne agencije iz regije jugovzhodne Azije, pakistanske vojaške posameznike, jedrske agencije in indijske volilne uradnike.

Skupina se je v glavnem osredotočila na operacije kraje podatkov in izvidnice, kar je oblikovalo njeno zbirko orodij za zlonamerno programsko opremo. Prvi, ki so ga pripisali Konfuciju, je bil ChatSpy. Uveden je bil kot del operacije leta 2017 in je deloval kot orodje za nadzor. Med letoma 2016 in 2019 se je skupina ukvarjala z aktivnim razvojem zlonamerne programske opreme SunBird , grožnje vohunske programske opreme za Android z razširjenimi zmogljivostmi. Čeprav je bila funkcionalnost SunBirda usmerjena tudi v krajo podatkov, vključno z identifikatorji naprav, lokacijo GPS, seznami stikov, dnevniki klicev itd., je bila zasnovana tako, da je bila posebej namenjena WhatsApp z ekstrakcijo dokumentov, podatkovnih baz in slik iz aplikacije. Poleg tega je bil SunBird opremljen s funkcijo Remote Access Trojan (RAT), ki je Confuciusu omogočila, da spusti dodatne obremenitve zlonamerne programske opreme na že ogrožene naprave.

Zadnja Konfucijeva operacija je bila opažena decembra 2020 in je uporabljala popolnoma drugačen sev vohunske programske opreme Android. Poimenovan Hornbill, je pokazal razvoj dejavnosti skupine. Dejansko se je obseg Hornbillovih zmogljivosti zmanjšal v primerjavi s SunBird, vendar je to omogočilo, da je grožnja delovala kot bolj diskretno orodje, zasnovano za selektivno zbiranje podatkov od cilja. Hornbill je izgubil funkcionalnost RAT, vendar je pridobil možnost zlorabe funkcij dostopnosti Android za odkrivanje in snemanje aktivnih klicev WhatsApp.