Confucius APT

孔子APT（Advanced Persistent Threat）に起因する活動の最初の兆候は、2013年にさかのぼります。それ以来、ハッカー集団は活発であり、2020年12月に最新の攻撃の波が発生しています。孔子は国が後援し、親インド関係を示しています。何年にもわたって、主なターゲットは東南アジア地域の政府機関、パキスタンの軍人、核機関、およびインドの選挙当局です。

このグループは主にデータの盗難と偵察の操作に焦点を当てており、それがマルウェアツールキットを形作っています。孔子に起因する最初のものはChatSpyでした。 2017年の運用の一環として展開され、監視ツールとして機能しました。 2016年から2019年の間に、このグループは、拡張機能を備えたAndroidスパイウェアの脅威であるSunBirdマルウェアの積極的な開発に従事しました。 SunBirdの機能は、デバイスID、GPS位置、連絡先リスト、通話記録などのデータ盗難にも対応していますが、アプリケーションからドキュメント、データベース、画像を抽出することで、WhatsAppを特にターゲットにするように設計されています。さらに、SunBirdにはリモートアクセストロイの木馬（RAT）機能が搭載されていたため、Confuciusはすでに侵害されたデバイスに追加のマルウェアペイロードをドロップできました。

最新の孔子の操作は2020年12月に観察され、まったく異なるAndroidスパイウェア株を採用していました。サイチョウと名付けられ、グループの活動の進化を示しました。実際、SunBirdと比較すると、Hornbillの機能の範囲は縮小されましたが、これにより、脅威は、ターゲットからデータを選択的に収集するように設計された、より目立たないツールとして機能することができました。 HornbillはRAT機能を失いましたが、Androidのアクセシビリティ機能を悪用してアクティブなWhatsApp通話を検出および記録する機能を獲得しました。