Confucius: десятилетие кибершпионажа и эволюция тактик в Южной Азии

За последние несколько месяцев исследователи наблюдали резкий скачок в технической изощренности Confucius. Группа перешла от использования классических похитителей данных, таких как WooperStealer, к сложным бэкдорам на Python, включая AnonDoor. Эта трансформация подчеркивает адаптивность группы и растущую сложность вредоносных кампаний, связанных с государственными интересами в регионе.

В декабре 2024 года Confucius запустила фишинговую кампанию с использованием документа Document.ppsx, которая была нацелена на пользователей в Пакистане. Сообщение использовало подделку авторитетного источника и побуждало получателя открыть вложение. После открытия файла показывалось сообщение "Corrupted Page", в то время как внедренный OLE-объект выполнял скрипт с удаленного URL-адреса greenxeonsr.info. Многоэтапная цепочка заражения включала загрузку вредоносной библиотеки Mapistub.dll, использование легитимного файла fixmapi.exe для подмены DLL и создание записи в реестре для обеспечения устойчивости. Финальной полезной нагрузкой выступал WooperStealer, сконфигурированный для сбора широкого спектра файловых типов, включая документы, изображения и архивы.

К марту 2025 года группа перешла на использование вредоносных LNK-файлов, таких как Invoice_Jan25.pdf.lnk. Обновленная тактика включала схожие механизмы подмены DLL и обеспечения устойчивости, но с усовершенствованными методами доставки вредоносной нагрузки. WooperStealer в этой кампании демонстрировал изменения в списке целевых расширений файлов и использовал хэш-проверки для избежания повторной передачи одних и тех же файлов на сервер управления.

Наиболее значительные изменения наблюдались в августе 2025 года, когда Confucius начала развертывание нового Python-бэкдора. В кампании с файлом NLC.pdf.lnk группа использовала усовершенствованные методы, включая установку среды выполнения Python через Scoop и создание скрытого файла winresume.pyc. Бэкдор AnonDoor демонстрировал сложную функциональность: сбор системной информации, определение географического местоположения, инвентаризацию дискового пространства и выполнение команд с сервера управления.

Новый бэкдор использует планировщик заданий для создания задачи NetPolicyUpdate, которая выполняется каждые 5 минут, обеспечивая устойчивое присутствие в системе. AnonDoor поддерживает различные команды, включая выполнение системных команд, создание скриншотов, перечисление файлов, загрузку данных и извлечение паролей из браузеров. Особенностью является механизм ограничения выполнения ресурсоемких задач не чаще чем раз в 6 минут, что снижает заметность активности в системе.

Анализ показывает, что Confucius продолжает совершенствовать свои методы обфускации, используя кодированные компоненты, многоэтапные цепочки загрузки и различные семейства вредоносного программного обеспечения. Группа демонстрирует способность быстро переключаться между техниками, инфраструктурой и типами вредоносных программ для поддержания оперативной эффективности.

Специалисты по кибербезопасности отмечают, что постоянное совершенствование методов атакующими группами требует повышенной бдительности и многоуровневых мер защиты. Эволюция тактик Confucius подчеркивает важность проактивного мониторинга угроз и своевременного обновления систем безопасности для противодействия современным кибершпионским кампаниям. Эксперты FortiGuard Labs продолжают密切关注 за деятельностью группы, предоставляя актуальную информацию для обеспечения комплексной защиты пользователей.

Domains

• bloomwpp.info
• cornfieldblue.info
• dropmicis.info
• greenxeonsr.info
• hauntedfishtree.info
• marshmellowflowerscar.info
• martkartout.info
• petricgreen.info

SHA256

• 06b8f395fc6b4fda8d36482a4301a529c21c60c107cbe936e558aef9f56b84f6
• 11391799ae242609304ef71b0efb571f11ac412488ba69d6efc54557447d022f
• 13ca36012dd66a7fa2f97d8a9577a7e71d8d41345ef65bf3d24ea5ebbb7c5ce1
• 24b06b5caad5b09729ccaffa5a43352afd2da2c29c3675b17cae975b7d2a1e62
• 4206ab93ac9781c8367d8675292193625573c2aaacf8feeaddd5b0cc9136d2d1
• 5a0dd2451a1661d12ab1e589124ff8ecd2c2ad55c8f35445ba9cf5e3215f977e
• 8603b9fa8a6886861571fd8400d96a705eb6258821c6ebc679476d1b92dcd09e
• c91917ff2cc3b843cf9f65e5798cd2e668a93e09802daa50e55a842ba9e505de