Хакерская группировка Confucius, действующая в Южной Азии с 2013 года, продолжает свои кибершпионские операции, демонстрируя высокую адаптивность и настойчивость. Основной целью атак является Пакистан, в частности, правительственные учреждения, военные организации, оборонные подрядчики и объекты критической инфраструктуры. Группа известна быстрым изменением тактик, инфраструктуры и вредоносного ПО, а также применением многоуровневых техник обфускации для уклонения от обнаружения.
По данным исследователя Кары Лин из Fortinet FortiGuard Labs, Confucius постоянно адаптирует свой инструментарий для выполнения конкретных задач по сбору разведывательной информации. Ключевой техникой, используемой в большинстве кампаний, является DLL Side-Loading, метод, позволяющий выполнять вредоносный код под видом легитимного процесса.
В декабре 2024 года была зафиксирована фишинговая кампания, в ходе которой на цели в Пакистане рассылался вредоносный файл в формате
В марте 2025 года группа провела новую волну атак, используя на этот раз вредоносные файлы-ярлыки Windows (
Август 2025 года ознаменовался эволюцией в техническом арсенале группы. В ходе очередной кампании с использованием
Вредоносная программа Anondoor была впервые задокументирована командой Seebug's KnownSec 404 Team в июле 2025 года. После установки на скомпрометированную систему она отправляет информацию об устройстве на удаленный сервер и ожидает дальнейших команд. Функционал бэкдора включает выполнение команд на хосте, создание снимков экрана, перечисление файлов и каталогов, а также хищение паролей, сохраненных в браузере Google Chrome.
Параллельно с деятельностью Confucius схожие тактики применяет другая группировка — Patchwork. Согласно отчету K7 Security Labs, их цепочка заражения начинается с вредоносного макроса в документе, который загружает
Финальная полезная нагрузка группировки Patchwork устанавливает связь с командным сервером (C2) для сбора системной информации. Она способна получать зашифрованные инструкции, расшифровывать их и выполнять с помощью
Особенностью вредоносного ПО Patchwork является механизм обеспечения персистентности и скрытности. В случае сбоя при отправке похищенных данных программа будет повторять попытку до 20 раз, гарантируя доставку информации оператору без оповещения пользователя или систем безопасности.
По данным исследователя Кары Лин из Fortinet FortiGuard Labs, Confucius постоянно адаптирует свой инструментарий для выполнения конкретных задач по сбору разведывательной информации. Ключевой техникой, используемой в большинстве кампаний, является DLL Side-Loading, метод, позволяющий выполнять вредоносный код под видом легитимного процесса.
В декабре 2024 года была зафиксирована фишинговая кампания, в ходе которой на цели в Пакистане рассылался вредоносный файл в формате
.PPSX. При открытии документа активировалась цепочка заражения, которая с помощью DLL Side-Loading доставляла на устройство вредоносное ПО для кражи данных WooperStealer. В марте 2025 года группа провела новую волну атак, используя на этот раз вредоносные файлы-ярлыки Windows (
.LNK). Механизм остался прежним: запуск ярлыка инициировал атаку типа DLL Side-Loading для развертывания того же похитителя данных WooperStealer. Август 2025 года ознаменовался эволюцией в техническом арсенале группы. В ходе очередной кампании с использованием
.LNK-файлов и техники DLL Side-Loading был развернут новый имплант — Anondoor. Этот бэкдор, написанный на языке Python, свидетельствует о росте технических возможностей Confucius. Вредоносная программа Anondoor была впервые задокументирована командой Seebug's KnownSec 404 Team в июле 2025 года. После установки на скомпрометированную систему она отправляет информацию об устройстве на удаленный сервер и ожидает дальнейших команд. Функционал бэкдора включает выполнение команд на хосте, создание снимков экрана, перечисление файлов и каталогов, а также хищение паролей, сохраненных в браузере Google Chrome.
Параллельно с деятельностью Confucius схожие тактики применяет другая группировка — Patchwork. Согласно отчету K7 Security Labs, их цепочка заражения начинается с вредоносного макроса в документе, который загружает
.LNK-файл. Этот ярлык содержит код PowerShell, предназначенный для загрузки дополнительных полезных нагрузок и запуска основного вредоносного ПО с использованием DLL Side-Loading. Для сокрытия своих действий пользователю демонстрируется безобидный PDF-документ. Финальная полезная нагрузка группировки Patchwork устанавливает связь с командным сервером (C2) для сбора системной информации. Она способна получать зашифрованные инструкции, расшифровывать их и выполнять с помощью
cmd.exe. Функционал также включает создание скриншотов, выгрузку файлов с машины жертвы и загрузку файлов с удаленного URL-адреса в локальный временный каталог. Особенностью вредоносного ПО Patchwork является механизм обеспечения персистентности и скрытности. В случае сбоя при отправке похищенных данных программа будет повторять попытку до 20 раз, гарантируя доставку информации оператору без оповещения пользователя или систем безопасности.