Confucius APT

Confucius APT Paglalarawan

Ang mga unang senyales ng aktibidad na nauugnay sa Confucius APT (Advanced Persistent Threat) ay nagsimula noong 2013. Ang grupo ng hacker ay naging aktibo mula noon sa pinakabagong alon ng mga pag-atake na naganap noong Disyembre 2020. Malaki ang paniniwala na si Confucius ay itinataguyod ng estado at ay nagpakita ng ugnayang maka-India. Sa buong taon ang pangunahing target ng mga ahensya ng gobyerno mula sa rehiyon ng Southeast Asia, mga indibidwal na militar ng Pakistan, mga ahensyang nuklear, at mga opisyal ng halalan sa India.

Pangunahing nakatuon ang grupo sa mga operasyong pagnanakaw ng data at reconnaissance at humubog sa toolkit ng malware nito. Ang unang naiugnay kay Confucius ay ang ChatSpy. Na-deploy ito bilang bahagi ng isang operasyon noong 2017 at nagsilbing tool sa pagsubaybay. Sa pagitan ng 2016 at 2019, ang grupo ay nakikibahagi sa aktibong pagbuo ng SunBird Malware , isang banta sa spyware ng Android na may pinalawak na mga kakayahan. Bagama't ang functionality ng SunBird ay nakatuon din sa pagnanakaw ng data kabilang ang mga identifier ng device, lokasyon ng GPS, mga listahan ng contact, mga log ng tawag, atbp, ito ay idinisenyo upang partikular na i-target ang WhatsApp sa pamamagitan ng pagkuha ng mga dokumento, database, at mga larawan mula sa application. Higit pa rito, ang SunBird ay nilagyan ng Remote Access Trojan (RAT) functionality na nagpapahintulot kay Confucius na mag-drop ng mga karagdagang malware payload sa mga nakompromisong device.

Ang pinakahuling operasyon ng Confucius ay naobserbahan noong Disyembre 2020 at gumamit ito ng isang ganap na kakaibang strain ng Android spyware. Pinangalanang Hornbill, ipinakita nito ang ebolusyon ng mga aktibidad ng grupo. Sa katunayan, ang saklaw ng mga kakayahan ng Hornbill ay nabawasan kung ihahambing sa SunBird ngunit pinayagan nito ang pagbabanta na kumilos bilang isang mas maingat na tool na idinisenyo upang piliing mangolekta ng data mula sa target. Nawala ni Hornbill ang functionality ng RAT ngunit nagkaroon ng kakayahang abusuhin ang mga function ng pagiging naa-access ng Android upang makita at maitala ang mga aktibong tawag sa WhatsApp.