El actor de amenaza conocido como Confucio se ha atribuido a una nueva campaña de phishing que se ha dirigido a Pakistán con familias de malware como Wooperstealer y Anondoor.
“Durante la última decenio, Confucio ha atacado repetidamente a las agencias gubernamentales, organizaciones militares, contratistas de defensa e industrias críticas, especialmente en Pakistán, utilizando documentos de phishing y maliciosos de pica como vectores de llegada iniciales”, dijo la investigadora de Fortinet Fortiguard Labs Cara Lin.
Confucius es un orden de piratería de larga duración que se cree que ha estado activo desde 2013 y que funciona en todo el sur de Asia. Las campañas recientes realizadas por el actor de amenaza han empleado una puerta trasera con sede en Python llamamiento Anondoor, lo que indica una proceso de la artesanía del orden y su agilidad técnica.
Una de las cadenas de ataque documentadas por los usuarios de Fortinet en Pakistán en algún momento de diciembre de 2024, engañando a los destinatarios para que abran un archivo .ppsx, que luego desencadena la entrega de Wooperstealer utilizando técnicas de carga anexo de DLL.
Se ha enfrentado que una ola de ataque posterior observada en marzo de 2025 emplea archivos de llegada directo de Windows (.lnk) para desatar el desconfiado Wooperstealer DLL, nuevamente valiente usando la carga anexo de DLL, para robar datos confidenciales de hosts comprometidos.
Otro archivo .lnk manido en agosto de 2025 asimismo aprovechó tácticas similares para dejar a un DLL deshonesto, solo que esta vez el DLL allana el camino para Anondoor, un implante de Python diseñado para exfiltrar la información del dispositivo a un servidor forastero y aplazamiento más tareas para ejecutar comandos, tomar pantallas, enumerar los streperes y los directorios y verduras de las contraseñas de Google desde un servidor forastero.
Vale la pena señalar que el uso de Anondoor por parte de la amenaza del actor de Anondoor fue documentado en julio de 2025 por el equipo conocido 404 de Seebug.
“El orden ha demostrado una cachas adaptabilidad, capas de técnicas de ofuscación para escamotear la detección y adaptar su conjunto de herramientas para alinearse con las prioridades cambiantes de monasterio de inteligencia”, dijo Fortinet. “Sus recientes campañas no solo ilustran la persistencia de Confucio, sino asimismo su capacidad para pivotar rápidamente entre técnicas, infraestructura y familias de malware para perseverar la efectividad operativa”.
La divulgación se produce cuando K7 Security Labs detalló una secuencia de infección asociada con el orden de alicatado que comienza con una macro maliciosa que está diseñada para descargar un archivo .lnk que contiene el código PowerShell responsable de descargar cargas bártulos adicionales y explotar la carga anexo de DLL para divulgar el malware principal mientras muestra simultáneamente un documento PDF DECOY.
La carga útil final, por su parte, establece el contacto con el servidor de comando y control del actor de amenaza (C2), recopila la información del sistema y recupera una instrucción codificada que después se descifra para la ejecución utilizando cmd.exe. Igualmente está equipado para tomar capturas de pantalla, cargar archivos de la máquina y descargar archivos desde una URL remota y guardarlos localmente en un directorio temporal.
“El malware aplazamiento un período configurable y reintentos que envían los datos hasta 20 veces, rastreando fallas para certificar la exfiltración de datos persistente y sigilosa sin alertar al beneficiario o los sistemas de seguridad”, dijo la compañía.
