Confucius APT

Die ersten Anzeichen von Aktivitäten, die Confucius APT (Advanced Persistent Threat) zugeschrieben werden, gehen auf das Jahr 2013 zurück. Das Hacker-Kollektiv ist seitdem aktiv. Die jüngste Angriffswelle findet im Dezember 2020 statt. Es wird davon ausgegangen, dass Confucius staatlich gefördert wird und hat pro-indische Beziehungen gezeigt. Im Laufe der Jahre richteten sich die Hauptziele an Regierungsbehörden aus der Region Südostasien, pakistanische Militärs, Nuklearagenturen und indische Wahlbeamte.

Die Gruppe hat sich hauptsächlich auf das Stehlen und Aufklären von Daten konzentriert und das Malware-Toolkit geprägt. Der erste, der Confucius zugeschrieben wurde, war ChatSpy. Es wurde im Rahmen einer Operation von 2017 eingesetzt und fungierte als Überwachungsinstrument. Zwischen 2016 und 2019 war die Gruppe an der aktiven Entwicklung der SunBird Malware beteiligt, einer Android-Spyware-Bedrohung mit erweiterten Funktionen. Obwohl die Funktionalität von SunBird auch auf Datendiebstahl ausgerichtet war, einschließlich Gerätekennungen, GPS-Standort, Kontaktlisten, Anrufprotokollen usw., wurde sie speziell für WhatsApp entwickelt, indem Dokumente, Datenbanken und Bilder aus der Anwendung extrahiert wurden. Darüber hinaus war SunBird mit RAT-Funktionen (Remote Access Trojan) ausgestattet, mit denen Confucius zusätzliche Malware-Nutzdaten auf den bereits gefährdeten Geräten ablegen konnte.

Die letzte Confucius-Operation wurde im Dezember 2020 beobachtet und verwendete eine völlig andere Android-Spyware-Sorte. Der Name Hornbill zeigte die Entwicklung der Aktivitäten der Gruppe. In der Tat wurde der Umfang der Funktionen von Hornbill im Vergleich zu SunBird reduziert, aber dies ermöglichte es der Bedrohung, als diskreteres Tool zu fungieren, mit dem selektiv Daten vom Ziel erfasst werden können. Hornbill verlor die RAT-Funktionalität, konnte jedoch die Android-Eingabehilfen missbrauchen, um aktive WhatsApp-Anrufe zu erkennen und aufzuzeichnen.