Confucius APT

สัญญาณแรกของกิจกรรมที่เกิดจาก Confucius APT (Advanced Persistent Threat) มีอายุย้อนไปถึงปี 2013 กลุ่มแฮ็กเกอร์มีการใช้งานตั้งแต่นั้นมา โดยมีการโจมตีระลอกล่าสุดในเดือนธันวาคม 2020 เชื่อเป็นอย่างยิ่งว่าขงจื๊อได้รับการสนับสนุนจากรัฐและ ได้แสดงความผูกพันธ์กับอินเดีย ตลอดหลายปีที่ผ่านมา หน่วยงานรัฐบาลจากภูมิภาคเอเชียตะวันออกเฉียงใต้ ทหารปากีสถาน หน่วยงานนิวเคลียร์ และเจ้าหน้าที่การเลือกตั้งของอินเดีย

กลุ่มนี้มุ่งเน้นที่การขโมยข้อมูลและการสอดแนมเป็นหลัก และได้กำหนดรูปแบบชุดเครื่องมือมัลแวร์ คนแรกที่มาจากขงจื๊อคือ ChatSpy มันถูกนำไปใช้เป็นส่วนหนึ่งของการปฏิบัติการในปี 2560 และทำหน้าที่เป็นเครื่องมือเฝ้าระวัง ระหว่างปี 2016 ถึง 2019 กลุ่มได้มีส่วนร่วมในการพัฒนา SunBird Malware ซึ่งเป็นภัยคุกคามสปายแวร์ Android พร้อมความสามารถที่เพิ่มขึ้น แม้ว่าฟังก์ชันการทำงานของ SunBird จะมุ่งไปที่การขโมยข้อมูล ซึ่งรวมถึงตัวระบุอุปกรณ์ ตำแหน่ง GPS รายชื่อผู้ติดต่อ บันทึกการโทร ฯลฯ มันถูกออกแบบมาเพื่อกำหนดเป้าหมาย WhatsApp โดยเฉพาะโดยการดึงเอกสาร ฐานข้อมูล และรูปภาพออกจากแอปพลิเคชัน นอกจากนี้ SunBird ยังติดตั้งฟังก์ชัน Remote Access Trojan (RAT) ซึ่งช่วยให้ Confucius ปล่อยมัลแวร์เพิ่มเติมในอุปกรณ์ที่ถูกบุกรุก

ปฏิบัติการล่าสุดของขงจื๊อถูกพบในเดือนธันวาคม 2020 และใช้สปายแวร์ Android สายพันธุ์ที่ต่างไปจากเดิมอย่างสิ้นเชิง ชื่อ นกเงือก แสดงให้เห็นถึงวิวัฒนาการของกิจกรรมของกลุ่ม อันที่จริง ขอบเขตความสามารถของนกเงือกนั้นลดลงเมื่อเปรียบเทียบกับ SunBird แต่นั่นทำให้ภัยคุกคามทำหน้าที่เป็นเครื่องมือที่รอบคอบกว่าซึ่งออกแบบมาเพื่อเลือกรวบรวมข้อมูลจากเป้าหมาย นกเงือกสูญเสียฟังก์ชัน RAT แต่ได้รับความสามารถในการใช้ฟังก์ชันการเข้าถึงของ Android ในทางที่ผิดเพื่อตรวจจับและบันทึกการโทร WhatsApp ที่ใช้งานอยู่