El actor de amenaza conocido como Confucio se atribuye a una nueva campaña de phishing dirigida a Pakistán, que tiene familias de malware como Wooperstealer y Anondoor.
“Durante la última década, Confucio ha atacado repetidamente a las agencias gubernamentales, organizaciones militares, contratistas de defensa, especialmente industrias importantes en Pakistán.
Confucio ha estado activo desde 2013 y es un grupo de piratería a largo plazo que se cree que está activo en todo el sur de Asia. Una campaña reciente realizada por AMENAY ACTORS emplea una puerta trasera con sede en Python llamada Anondoor, que muestra la evolución del comercio del grupo y su agilidad técnica.
Una de las cadenas de ataque dirigidas a los usuarios paquistaníes en diciembre de 2024 engañará al destinatario para que abra un archivo .ppsx y use la tecnología DLL Sideload para desencadenar la entrega de Woopersteler.
La ola de ataque posterior, observada en marzo de 2025, desató el malicioso Wooperstealer DLL usando un archivo de acceso directo (.lnk) de Windows, luego se reinició utilizando laselo lateral DLL y robó datos confidenciales del host comprometido.
Otro archivo .lnk descubierto en agosto de 2025 utilizó tácticas similares para eliminar las DLL malformadas. Esta vez, DLL abre el camino a Anondoor. Esto está esperando nuevas tareas para eliminar la información del dispositivo a un servidor externo y ejecutar comandos, capturas de pantalla, capturas de pantalla y contraseñas de directorio.
Vale la pena señalar que el uso del actor de amenazas Anondoor fue documentado en julio de 2025 por el conocido equipo de SEC 404 de Seebug.
«Este grupo ha modificado ese conjunto de herramientas para demostrar una fuerte adaptabilidad, evitar la detección, ajustar su conjunto de herramientas y cambiar la priorización de la recopilación de inteligencia», dijo Fortinet. «Las campañas recientes han demostrado la sostenibilidad de Confucio, así como su capacidad para pivotar rápidamente entre sus métodos, familias de infraestructura y malware, manteniendo la efectividad operativa».
La divulgación ocurre cuando el K7 Security Lab detalla las secuencias de infección asociadas con los grupos de mosaicos en detalle. Esto comienza con una macro maliciosa diseñada para descargar cargas útiles adicionales, aprovechar DLL Sideload para iniciar malware primario y descargar simultáneamente el código PowerShell que aprovecha la respuesta de DLL al mismo tiempo que muestra simultáneamente documentos PDF señuelo.
La carga útil final establece el contacto con el servidor del comando y el control del actor de amenaza (C2), recopila información del sistema y recupera instrucciones codificadas que se descifran para ejecutar con cmd.exe. También tiene equipos para tomar capturas de pantalla, cargar archivos desde su máquina, descargar archivos desde una URL remota y guardarlos localmente en un directorio temporal.
«El malware espera un período configurable para reenviar datos hasta 20 veces, rastrear fallas y garantizar la eliminación de datos persistente y sigilosa sin advertir a los usuarios o sistemas de seguridad», dijo la compañía.
Source link
