O grupo hacker conhecido como Confucius vem sendo associado a uma nova campanha de phishing que tem como alvo o Paquistão, utilizando famílias de malware como WooperStealer e Anondoor.
“Nos últimos dez anos, o Confucius tem atacado repetidamente agências governamentais, organizações militares, contratantes de defesa e indústrias críticas — sobretudo no Paquistão — por meio de spear-phishing e documentos maliciosos, usados como vetores de acesso inicial”, explica Cara Lin, pesquisadora do Fortinet FortiGuard Labs.
Ativo desde 2013 e atuando principalmente no Sul da Ásia, o Confucius é um grupo de longa data conhecido por sua persistência.
Recentemente, suas campanhas passaram a empregar uma backdoor baseada em Python chamada Anondoor, evidenciando a evolução no tradecraft e a agilidade técnica do grupo.
Um dos ataques documentados pelo Fortinet, ocorrido em dezembro de 2024, mirou usuários no Paquistão.
Os alvos foram induzidos a abrir um arquivo com extensão .PPSX, que disparava a instalação do WooperStealer, utilizando técnicas de DLL side-loading para executar o malware.
Já uma segunda onda, observada em março de 2025, usou arquivos de atalho do Windows (.LNK) para ativar novamente o WooperStealer via DLL side-loading, com o objetivo de roubar dados sensíveis das máquinas infectadas.
Em agosto de 2025, outro arquivo .LNK foi identificado aplicando táticas similares para carregar uma DLL maliciosa – dessa vez, um componente que instala o Anondoor.
Esse implant em Python é projetado para exfiltrar informações do dispositivo para um servidor remoto, aguardar comandos, capturar screenshots, listar arquivos e diretórios, além de extrair senhas armazenadas no Google Chrome.
Vale destacar que o uso do Anondoor pelo grupo já tinha sido documentado em julho de 2025 pela equipe KnownSec 404 da Seebug.
“O grupo demonstra grande capacidade de adaptação, combinando técnicas de obfuscação para evitar detecção e ajustando seu conjunto de ferramentas conforme mudanças nas prioridades de inteligência”, afirma o Fortinet.
“Suas campanhas recentes ilustram não só a persistência do Confucius, mas também sua habilidade de mudar rapidamente entre técnicas, infraestrutura e famílias de malware para manter a eficácia operacional.”
Essa revelação coincide com um relatório do K7 Security Labs, que detalhou uma cadeia de infecção associada ao grupo Patchwork.
O ataque começa com uma macro maliciosa que baixa um arquivo .LNK contendo código PowerShell responsável por baixar os payloads adicionais.
A execução do malware principal também ocorre via DLL side-loading, enquanto um documento PDF falso é exibido para enganar o usuário.
O payload final estabelece comunicação com o servidor de comando e controle (C2) do atacante, coleta informações do sistema e recebe instruções codificadas.
Essas instruções são decodificadas e executadas usando cmd.exe.
Além disso, o malware pode tirar screenshots, fazer upload de arquivos do computador infectado e baixar arquivos de URLs remotos para uma pasta temporária local.
“O malware espera um período configurável e tenta reenviar os dados até 20 vezes, monitorando falhas para garantir uma exfiltração persistente e discreta, sem alertar o usuário ou os sistemas de segurança”, explica a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...