Confucius APT

De första tecknen på aktivitet som tillskrivs Confucius APT (Advanced Persistent Threat) går tillbaka till 2013. Hackerkollektivet har varit aktivt sedan dess med den senaste vågen av attacker som ägde rum i december 2020. Man tror starkt att Confucius är statligt sponsrad och har visat pro-indiska band. Under årens lopp har de främst riktat sig till statliga myndigheter från regionen Sydostasien, pakistanska militärer, kärnkraftsmyndigheter och indiska valtjänstemän.

Gruppen har huvudsakligen fokuserat på datastöld och spaningsoperationer och det har format dess verktyg för skadlig programvara. Den första som tillskrivs Konfucius var ChatSpy. Den utplacerades som en del av en operation 2017 och den fungerade som ett övervakningsverktyg. Mellan 2016 och 2019 var gruppen engagerad i den aktiva utvecklingen av SunBird Malware, ett Android-spywarehot med utökade möjligheter. Även om SunBirds funktionalitet också var inriktad på datastöld inklusive enhetsidentifierare, GPS-plats, kontaktlistor, samtalsloggar, etc, designades den för att specifikt rikta in sig på WhatsApp genom att extrahera dokument, databaser och bilder från applikationen. Dessutom var SunBird utrustad med Remote Access Trojan (RAT) funktionalitet som gjorde det möjligt för Confucius att släppa ytterligare skadlig nyttolast på de redan komprometterade enheterna.

Den senaste Confucius-operationen observerades i december 2020 och den använde en helt annan Android-spionprogramstam. Den fick namnet Hornbill och visade utvecklingen av gruppens aktiviteter. Faktum är att omfattningen av Hornbills kapacitet reducerades jämfört med SunBird, men det gjorde att hotet kunde fungera som ett mer diskret verktyg utformat för att selektivt samla in data från målet. Hornbill förlorade RAT-funktionen men fick möjligheten att missbruka Androids tillgänglighetsfunktioner för att upptäcka och spela in aktiva WhatsApp-samtal.