Confucius APT

Konfüçyüs APT'ye (Gelişmiş Kalıcı Tehdit) atfedilen ilk faaliyet belirtileri 2013 yılına kadar uzanıyor. Hacker topluluğu, Aralık 2020'de gerçekleşen en son saldırı dalgasıyla o zamandan beri aktif. Konfüçyüs'ün devlet destekli olduğuna ve Hindistan yanlısı ilişkiler sergiledi. Yıllar boyunca, ana hedefler Güneydoğu Asya bölgesinden devlet kurumları, Pakistan askeri bireyleri, nükleer ajanslar ve Hintli seçim yetkilileri.

Grup, esas olarak veri çalma ve keşif operasyonlarına odaklandı ve bu, kötü amaçlı yazılım araç setini şekillendirdi. Konfüçyüs'e atfedilen ilk kişi ChatSpy'dı. 2017 operasyonunun bir parçası olarak konuşlandırıldı ve bir gözetleme aracı olarak görev yaptı. 2016 ve 2019 yılları arasında grup, genişletilmiş yeteneklere sahip bir Android casus yazılım tehdidi olan SunBird Kötü Amaçlı Yazılımın aktif olarak geliştirilmesiyle uğraştı. SunBird'ün işlevselliği ayrıca cihaz tanımlayıcıları, GPS konumu, kişi listeleri, arama günlükleri vb. dahil olmak üzere veri hırsızlığına yönelik olsa da, uygulamadan belgeleri, veritabanlarını ve görüntüleri çıkararak özel olarak WhatsApp'ı hedeflemek için tasarlanmıştır. Ayrıca SunBird, Konfüçyüs'ün zaten güvenliği ihlal edilmiş cihazlara ek kötü amaçlı yazılım yükleri bırakmasına izin veren Uzaktan Erişim Truva Atı (RAT) işleviyle donatıldı.

En son Konfüçyüs operasyonu Aralık 2020'de gözlemlendi ve tamamen farklı bir Android casus yazılım türü kullandı. Adı Hornbill, grubun faaliyetlerinin evrimini gösterdi. Aslında, Hornbill'in yeteneklerinin kapsamı SunBird ile karşılaştırıldığında azaldı, ancak bu, tehdidin hedeften seçici olarak veri toplamak için tasarlanmış daha gizli bir araç olarak hareket etmesine izin verdi. Hornbill, RAT işlevini kaybetti, ancak aktif WhatsApp çağrılarını algılamak ve kaydetmek için Android erişilebilirlik işlevlerini kötüye kullanma yeteneği kazandı.