Конфуцій APT

Перші ознаки діяльності, пов’язані з Confucius APT (Advanced Persistent Threat), датуються 2013 роком. Колектив хакерів був активний з того часу, остання хвиля атак відбулася в грудні 2020 року. Вважається, що Конфуцій спонсорується державою і демонстрував проіндійські зв’язки. Протягом багатьох років головною метою є урядові установи з регіону Південно-Східної Азії, пакистанські військові, ядерні агентства та індійські виборчі чиновники.

Група в основному зосередилася на операціях з крадіжки даних і розвідки, і це сформувало її інструментарій зловмисного програмного забезпечення. Першим, кого приписували Конфуцію, був ChatSpy. Він був розгорнутий в рамках операції 2017 року і виконував роль засобу спостереження. У період з 2016 по 2019 рік група займалася активною розробкою SunBird Malware , загрози-шпигуна для Android з розширеними можливостями. Хоча функціональність SunBird також була спрямована на крадіжку даних, включаючи ідентифікатори пристроїв, місцезнаходження GPS, списки контактів, журнали викликів тощо, вона була розроблена спеціально для WhatsApp шляхом вилучення документів, баз даних та зображень із програми. Крім того, SunBird був оснащений функцією Remote Access Trojan (RAT), яка дозволяла Confucius скидати додаткові шкідливі програми на вже зламані пристрої.

Остання операція «Конфуцій» відбулася в грудні 2020 року, і в ній використовувалося абсолютно інше шпигунське програмне забезпечення Android. Названий Hornbill, він показав еволюцію діяльності групи. Справді, обсяг можливостей Hornbill був зменшений у порівнянні з SunBird, але це дозволило загрозі діяти як більш стриманий інструмент, призначений для вибіркового збору даних від цілі. Hornbill втратив функціональність RAT, але отримав можливість зловживати функціями доступності Android для виявлення та запису активних дзвінків WhatsApp.