02.10.2025
1 хв
640
Хакерське угруповання Confucius розгорнуло нову хвилю кібератак проти Пакистану, використовуючи шкідливі програми WooperStealer та Anondoor, що дозволяють викрадати дані та встановлювати тривале спостереження на заражених пристроях.
За даними Fortinet FortiGuard Labs, кампанія стартувала наприкінці 2024 року та тривала у 2025-му. Атакувальники застосовували фішингові листи, що містили файли .PPSX або .LNK, які через техніку DLL side-loading запускали троянські DLL-бібліотеки. У березні та серпні 2025 року спостерігалися кілька хвиль атак із використанням WooperStealer, призначеного для викрадення паролів, файлів та іншої конфіденційної інформації.
Новий етап пов’язаний із появою Anondoor — Python-імпланта, що не лише ексфільтрує дані, але й забезпечує бекдор для довготривалого контролю над пристроєм. Ця програма може виконувати команди, робити скріншоти, переглядати файлову систему та отримувати паролі з браузерів.
Confucius діє ще з 2013 року, зосереджуючи свої атаки на урядових установах, військових структурах і стратегічних підприємствах у Південній Азії, зокрема в Пакистані. Група відома своєю гнучкістю: швидко змінює тактики, інфраструктуру та шкідливі інструменти, уникаючи виявлення. Перехід від простих крадіїв інформації до бекдорів свідчить про їхній фокус на тривалому шпигунстві та моніторингу.
Остання кампанія Confucius підтверджує зростаючу небезпеку від добре організованих угруповань, які комбінують класичні техніки з новими інструментами для посилення стійкості атак. Використання WooperStealer та Anondoor показує прагнення хакерів до довготривалої присутності в мережах жертв, що становить особливу загрозу для державних структур та оборонних підприємств.
