Son on yılda Confucius hacker grubu, özellikle Pakistan’daki hükümet kurumları, askeri yapılar, savunma sanayi ve kritik sektörleri hedef alarak, ilk erişim için oltalama ve kötü amaçlı belge yöntemlerini kullandı. Fortinet FortiGuard Labs araştırmacısı Cara Lin, grubun Güney Asya’da 2013’ten beri aktif olduğunu ve teknik olarak sürekli evrildiğini belirtti.
WooperStealer ve DLL Yan Yükleme Teknikleri
Aralık 2024’te Pakistan’da tespit edilen saldırılarda, kullanıcılar .PPSX dosyalarını açmaya ikna edilerek DLL yan yükleme yöntemiyle WooperStealer zararlısı sisteme yerleştirildi. Mart 2025’te ise Windows kısayol dosyaları (.LNK) kullanılarak benzer tekniklerle WooperStealer DLL’si dağıtıldı ve hassas veriler ele geçirildi.
Anondoor: Python Tabanlı Arka Kapı
Ağustos 2025 saldırılarında, yine .LNK dosyalarıyla sahte DLL yan yüklenerek Python implantı Anondoor aktif hale getirildi. Bu zararlı, cihaz bilgilerini dış sunucuya sızdırmak, komut yürütmek, ekran görüntüsü almak, dosya ve dizin listelemek ile Google Chrome şifrelerini çıkarmak gibi gelişmiş yeteneklere sahip. Anondoor’un kullanımı, Temmuz 2025’te Seebug KnownSec 404 Takımı tarafından da belgelenmişti.
Grubun Teknik Esnekliği ve Gizleme Yöntemleri
Fortinet, Confucius grubunun karmaşık gizleme teknikleri ve değişken araç setleriyle tespitten kaçındığını, teknikler ve altyapı arasında hızlı geçiş yapabildiğini vurguladı. Bu durum, grubun uzun vadeli izleme ve kalıcılık stratejisini destekliyor.
Patchwork Grubuyla Paralellikler
K7 Security Labs’in raporuna göre, benzer .LNK dosyaları ve DLL yan yükleme teknikleri Patchwork grubunun saldırı dizilerinde de görülüyor. Bu yöntemler, PowerShell komutlarıyla ek yük indirip çalıştırmayı ve sahte PDF gösterimini içeriyor. Zararlı, C2 sunucusuyla iletişim kurup şifrelenmiş komutları çözüyor, ekran görüntüsü alıyor, dosya yükleyip indiriyor ve uzun süreli gizli veri sızdırma sağlıyor.