g0142-confucius - RunkIntel

# Confucius > [!info] APT Sul-Asiático - Foco em Militares Paquistaneses > O Confucius é um ator de espionagem de longa data com foco persistente em militares e governo do Paquistão. Em 2025, o grupo expandiu seu arsenal com backdoor Python avançado (**AnonDoor**), sinalizando evolução de infostealer para monitoramento persistente de longo prazo. ## Visão Geral O **Confucius** é um grupo de espionagem cibernética ativo desde pelo menos 2013, com forte suspeita de origem indiana (atribuído ao estado indiano pelo CFR em operação confirmada). O grupo mantém foco consistente em alvos militares, governamentais e de defesa no Paquistão e arredores, embora ocasionalmente expanda para Bangladesh e Sri Lanka. Pesquisadores de segurança identificaram **semelhanças técnicas significativas** com o grupo Patchwork (também de origem indiana suspeita), incluindo sobreposição de código de malware e uso compartilhado de infraestrutura - o grupo Confucius usa ocasionalmente domínios vinculados ao Patchwork. Em 2024-2025, o grupo demonstrou capacidade de adaptação rápida: incorporou LNK files (Windows shortcuts), DLL sideloading e o novo **AnonDoor** (backdoor Python), sinalizando pivô de ferramentas de exfiltração simples para implantes de acesso persistente de longo prazo. ## Attack Flow - Spear-phishing com Iscas Militares ```mermaid graph TB A["🎯 Reconhecimento OSINT Identificação de alvos Militares + oficiais PAK"] --> B["📧 Spear-phishing em 2 fases Fase 1: Email inocente Fase 2: Link malicioso"] B --> C["📄 Documento Armado PPSX / LNK / Word Tema: ISPR / Exercito PAK"] C --> D["🔄 DLL Sideloading DLL maliciosa carregada por executavel legítimo"] D --> E["🕵️ WooperStealer / AnonDoor Exfiltração de documentos Backup retry 20x"] E --> F["📤 Exfiltração FTP/HTTP Cloud storage Servidor controlado"] ``` ## Evolução do Arsenal (2013-2025) ```mermaid graph TB A["2013-2019 Ferramentas básicas File stealers simples"] --> B["2020-2022 WarzoneRAT Templaté injection"] B --> C["2023-2024 WooperStealer DLL sideloading PPSX"] C --> D["2025 AnonDoor Python Backdoor persistente"] D --> E["Pivot estratégico De coleta episodica Para monitoramento continuo"] ``` ## Técnicas de Engenharia Social O Confucius é particularmente sofisticado na **construção de iscas socialmente relevantes**: - **Fase 1**: Email sem payload, com conteúdo de jornal paquistanês legítimo para estabelecer credibilidade - **Fase 2**: Email com link malicioso, fingindo ser aviso oficial do ISPR (Inter-Services Public Relations do Exército paquistanês) - **Impersonação**: Uso de domínios como `ispr.gov.pk` (legítimo) vs `ispr.email` (malicioso) - **Temas de isca**: Spyware Pegasus, alertas de segurança nacional, documentos da Autoridade de Habitação de Defesa (DHA) Essa abordagem em duas etapas dificulta detecção automática pois a primeira mensagem é completamente benigna. ## Arsenal de Malware Atual | Malware | Tipo | Capacidades | |---------|------|-------------| | [[s0670-warzonerat\|WarzoneRAT]] | RAT | RAT público com keylogging, captura de tela, acesso remoto | | [[wooperstealer\|WooperStealer]] | Infostealer | Exfiltração de docs, imagens, emails, arquivos ZIP; retry 20x | | [[anondoor\|AnonDoor]] | Backdoor Python | Persistência de longo prazo; evolução de WooperStealer (2025) | ## Relação com Patchwork O Confucius e o [[g0040-patchwork|Patchwork]] são considerados grupos distintos mas com nexo operacional: - Código de malware compartilhado (estrutura similar de file stealers .NET) - Uso de domínio `mailerservice[.]directory` visto em ambos os grupos - Alvos e motivações similares (espionagem contra Paquistão) - Possível uso de contractors compartilhados ou origem na mesma organização de inteligência ## Relevância para o Brasil e LATAM > [!info] Risco Baixo - Foco Geográfico Sul-Asiático > O Confucius não tem histórico de ataques contra LATAM. O risco direto ao Brasil é negligenciável. Porém, militares e diplomatas brasileiros que trabalham em missões, projetos ou parcerias relacionadas ao Sul da Ásia podem ser alvo colateral de campanhas de reconhecimento amplo. O grupo representa um caso de estudo relevante por: 1. **Métodologia de spear-phishing em duas fases** - Tática aplicável a qualquer contexto; organizações brasileiras devem treinar para reconhecer phishing sem payload inicial 2. **Impersonação de autoridades militares** - Técnica replicável com iscas brasileiras (CEME, SGEX, CTIR Gov) 3. **Evolução para backdoors persistentes** - A transição de AnonDoor indica que grupos similares podem manter acesso silencioso por meses antes de agir ## Detecção e Mitigação - Bloquear e monitorar execução de arquivos .LNK vindos de email (T1204.002) - Detectar DLL sideloading: monitorar DLLs carregadas de diretórios temporários por processos legítimos - Implementar análise de documentos Office com templaté injection (T1221) em sandbox - Monitorar processos Python iniciados por scripts de Office ou LNK files (AnonDoor indicator) - Verificar FTP outbound não autorizado para exfiltração (WooperStealer usa FTP) - Auditar uso de serviços de cloud storage (Dropbox, Google Drive) para exfiltração (T1567.002) ## Referências - [1](https://thehackernews.com/2025/10/confucius-hackers-hit-pakistan-with-new.html) The Hacker News - Confucius Hackers Hit Pakistan with WooperStealer and AnonDoor (2025) - [2](https://ankura.com/insights/ankura-ctix-flash-update-october-3-2025) Ankura CTIX - Confucius New Phishing Campaign Pakistan (2025) - [3](https://securityonline.info/confucius-apt-evolves-espionage-group-shifts-from-wooperstealer-to-advanced-python-backdoor-anondoor/) SecurityOnline - Confucius APT Evolves: WooperStealer to AnonDoor (2025) - [4](https://www.trendmicro.com/en_us/research/21/h/confucius-uses-pegasus-spyware-related-lures-to-target-pakistani.html) Trend Micro - Confucius Uses Pegasus Lures to Target Pakistani Military (2021) - [5](https://attack.mitre.org/groups/G0142/) MITRE ATT&CK - Confucius G0142 (2025)