Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Confucius: эволюция фишинга, LNK и бэкдоров (2024–2025)

4
3 мин
Хакерская группировка Confucius, связанная с государством, продемонстрировала заметную эволюцию своих методов работы: от использования простого вредоносного ПО для кражи документов — к внедрению сложных бэкдорных решений и многоуровневых схем доставки. Это изменение говорит о росте технической гибкости и стремлении избежать обнаружения при одновременном повышении оперативной эффективности. На протяжении описанного периода Confucius комбинировала разнообразные техники для первоначального доступа и удержания в сети жертвы. Среди используемых механизмов: В ходе наблюдений Confucius меняла не только вектор доставки, но и сами семейства вредоносного ПО. В арсенале атакующих фиксировались: Такая смена семейств указывает на _адаптивность_ и готовность группировки комбинировать разные технологии для достижения целей кибершпионажа. Анализ показал, что Confucius перешла от простой кражи документов к устойчивым, скрытым моделям проникновения и удержания. Характерные черты кампаний: «Многоуровневы
Оглавление

Хакерская группировка Confucius, связанная с государством, продемонстрировала заметную эволюцию своих методов работы: от использования простого вредоносного ПО для кражи документов — к внедрению сложных бэкдорных решений и многоуровневых схем доставки. Это изменение говорит о росте технической гибкости и стремлении избежать обнаружения при одновременном повышении оперативной эффективности.

Краткий обзор кампаний

  • Декабрь 2024: начало фишинговой кампании в Пакистане с вложениями, замаскированными под PowerPoint (Document.ppsx), использовавшими социальную инженерию: подмена полномочий и тонкие призывы к действию для вынуждения открыть файл.
  • Март 2025: внедрение вредоносных LNK-файлов; пример — Invoice_Jan25.pdf.lnk, который запускал легитимный Windows-файл BlueAle.exe, модифицированный из исходного системного файла C:WindowsSystem32fixmapi.exe. Метод включал дальнейшую загрузку вредоносной DLL и поддельной PDF-формы с удалённого сервера.
  • Август 2025: появление нового LNK-файла (NLC.pdf.lnk) с похожим сценарием исполнения, но новой, более сложной полезной нагрузкой; анализ расшифрованной команды показал возросшую сложность архитектуры.

Методы доставки и исполнения

На протяжении описанного периода Confucius комбинировала разнообразные техники для первоначального доступа и удержания в сети жертвы. Среди используемых механизмов:

  • фишинг с вложениями в формате PowerPoint (Document.ppsx);
  • LNK‑файлы как средство триггера запуска цепочки исполнения (Invoice_Jan25.pdf.lnk, NLC.pdf.lnk);
  • запуск легитимных системных бинарей, модифицированных для загрузки дополнительных компонентов (BlueAle.exe из C:WindowsSystem32fixmapi.exe);
  • загрузка вредоносных DLL и поддельных документов с удалённых серверов;
  • использование OLE-объектов и вредоносных скриптов внутри документов;
  • загрузчики на базе PowerShell и MSIL;
  • запутанные и многоуровневые полезные нагрузки, включая варианты на Python.

Эволюция используемых семейств вредоносного ПО

В ходе наблюдений Confucius меняла не только вектор доставки, но и сами семейства вредоносного ПО. В арсенале атакующих фиксировались:

  • WooperStealer — инструмент для кражи данных;
  • AnonDoor — бэкдор на основе MSIL;
  • новые вариан Figuradaции на Python, появившиеся в поздних вариантах кампаний.

Такая смена семейств указывает на _адаптивность_ и готовность группировки комбинировать разные технологии для достижения целей кибершпионажа.

Техническая оценка и характер угрозы

Анализ показал, что Confucius перешла от простой кражи документов к устойчивым, скрытым моделям проникновения и удержания. Характерные черты кампаний:

  • многоуровневые цепочки исполнения, снижающие вероятность обнаружения;
  • использование легитимных системных бинарей в роли «провокации» для запуска вредоносного кода;
  • комбинация скриптовых загрузчиков (PowerShell), MSIL‑загрузчиков и нативных библиотек (DLL);
  • социальная инженерия как основной инструмент первичного вовлечения жертвы.
«Многоуровневый подход к развертыванию вредоносного ПО» — именно так можно охарактеризовать эволюцию тактик Confucius.

Последствия и рекомендации

Повышение сложности операций Confucius требует от организаций усиления многоуровневых мер защиты и оперативного мониторинга признаков компрометации. В частности следует обратить внимание на:

  • повышенную бдительность при работе с вложениями (.ppsx, .lnk и т.д.);
  • контроль целостности системных бинарей и проверку необычных запусков из Windows System32;
  • логирование и анализ сетевого трафика на предмет загрузок DLL и подозрительных обращений к внешним серверам;
  • ограничение исполнения скриптов (PowerShell) и внедрение политик Application Control;
  • обучение сотрудников методам распознавания фишинговых писем и социальных инженерных приёмов.

Вывод

Группировка Confucius демонстрирует устойчивую эволюцию от инструментов кражи документов к сложным, многоуровневым бэкдорам и гибридным цепочкам доставки. Их способности комбинировать OLE-объекты, LNK-файлы, PowerShell, MSIL и различные полезные нагрузки (включая Python‑варианты) делают их угрозой, требующей координированного и технически грамотного ответа со стороны организаций и команд по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Confucius: эволюция фишинга, LNK и бэкдоров (2024–2025)".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются