El actor de amenaza conocido como Confucio se ha atribuido a una nueva campaña de phishing que se ha dirigido a Pakistán con familias de malware como Wooperstealer y Anondoor.
«Durante la última década, Confucio se ha dirigido repetidamente a las agencias gubernamentales, organizaciones militares, contratistas de defensa e industrias críticas, especialmente en Pakistán, utilizando documentos de phishing y maliciosos como vectores de acceso iniciales», el investigador de Fortinet Fortiguard Labs Cara Lin Lin Lin dicho.
Confucio es un Grupo de piratería de larga duración Se cree que ha estado activo desde 2013 y operando en todo el sur de Asia. Las campañas recientes realizadas por el actor de amenaza han empleado una puerta trasera con sede en Python llamada Anondoor, lo que indica una evolución de la artesanía del grupo y su agilidad técnica.
Una de las cadenas de ataque documentadas por los usuarios de Fortinet en Pakistán en algún momento de diciembre de 2024, engañando a los destinatarios para que abran un archivo .ppsx, que luego desencadena la entrega de Wooperstealer utilizando técnicas de carga lateral de DLL.
Se ha encontrado que una ola de ataque posterior observada en marzo de 2025 emplea archivos de acceso directo de Windows (.lnk) para desatar el malicioso Wooperstealer DLL, nuevamente lanzado usando la carga lateral de DLL, para robar datos confidenciales de hosts comprometidos.
Otro archivo .lnk visto en agosto de 2025 también aprovechó tácticas similares para dejar a un DLL deshonesto, solo que esta vez el DLL allana el camino para Anondoor, un implante de Python diseñado para exfiltrar la información del dispositivo a un servidor externo y espera más tareas para ejecutar comandos, tomar pantallas, enumerar los streperes y los directorios y verduras de las contraseñas de Google desde un servidor externo.
Vale la pena señalar que el uso de Anondoor por el actor de la amenaza fue documentado En julio de 2025 por el equipo conocido 404 de Seebug.
«El grupo ha demostrado una fuerte adaptabilidad, capas de técnicas de ofuscación para evadir la detección y adaptar su conjunto de herramientas para alinearse con las prioridades cambiantes de recolección de inteligencia», dijo Fortinet. «Sus recientes campañas no solo ilustran la persistencia de Confucio, sino también su capacidad para pivotar rápidamente entre técnicas, infraestructura y familias de malware para mantener la efectividad operativa».
La divulgación se produce cuando K7 Security Labs detalló una secuencia de infección asociada con el Labor de retazos grupo Eso comienza con una macro maliciosa que está diseñada para descargar un archivo .lnk que contiene el código PowerShell responsable de descargar cargas útiles adicionales y aprovechar la carga lateral de DLL para iniciar el malware primario y al mismo tiempo muestra un documento PDF señuelo.
La carga útil final, por su parte, establece el contacto con el servidor de comando y control del actor de amenaza (C2), recopila la información del sistema y recupera una instrucción codificada que posteriormente se descifra para la ejecución utilizando cmd.exe. También está equipado para tomar capturas de pantalla, cargar archivos de la máquina y descargar archivos desde una URL remota y guardarlos localmente en un directorio temporal.
«El malware espera un período configurable y reintentos que envían los datos hasta 20 veces, rastreando fallas para garantizar la exfiltración de datos persistente y sigiloso sin alertar al usuario o los sistemas de seguridad», la compañía dicho.
Fuente