Confucius APT

Confucius APT Descripción

Los primeros signos de actividad atribuidos a Confucius APT (Advanced Persistent Threat) se remontan a 2013. El colectivo de hackers ha estado activo desde entonces con la última ola de ataques que tuvo lugar en diciembre de 2020. Se cree firmemente que Confucius está patrocinado por el estado y ha exhibido lazos pro-India. A lo largo de los años, los principales objetivos de las agencias gubernamentales de la región del sudeste asiático, militares paquistaníes, agencias nucleares y funcionarios electorales indios.

El grupo se ha centrado principalmente en operaciones de reconocimiento y robo de datos y eso ha dado forma a su conjunto de herramientas de malware. El primero que se atribuyó a Confucius fue ChatSpy. Se implementó como parte de una operación de 2017 y actuó como una herramienta de vigilancia. Entre 2016 y 2019, el grupo participó en el desarrollo activo de SunBird Malware, una amenaza de software espía para Android con capacidades ampliadas. Aunque la funcionalidad de SunBird también estaba orientada al robo de datos, incluidos identificadores de dispositivos, ubicación GPS, listas de contactos, registros de llamadas, etc., se diseñó para apuntar específicamente a WhatsApp mediante la extracción de documentos, bases de datos e imágenes de la aplicación. Además, SunBird estaba equipado con la funcionalidad de Troyano de acceso remoto (RAT) que le permitió a Confucius colocar cargas útiles de malware adicionales en los dispositivos ya comprometidos.

La última operación de Confucius se observó en diciembre de 2020 y empleó una variedad de software espía de Android completamente diferente. Llamado Hornbill, mostraba la evolución de las actividades del grupo. De hecho, el alcance de las capacidades de Hornbill se redujo en comparación con SunBird, pero eso permitió que la amenaza actuara como una herramienta más discreta diseñada para recopilar datos selectivamente del objetivo. Hornbill perdió la funcionalidad RAT pero ganó la capacidad de abusar de las funciones de accesibilidad de Android para detectar y grabar llamadas activas de WhatsApp.