El actor de amenaza conocido como Confucio se ha atribuido a una nueva campaña de phishing que se ha dirigido a Pakistán con familias de malware como Wooperstealer y Anondoor.
«Durante la última lapso, Confucio ha atacado repetidamente a las agencias gubernamentales, organizaciones militares, contratistas de defensa e industrias críticas, especialmente en Pakistán, utilizando documentos de phishing y maliciosos de gancho como vectores de llegada iniciales», dijo la investigadora de Fortinet Fortiguard Labs Cara Lin.
Confucius es un orden de piratería de larga duración que se cree que ha estado activo desde 2013 y que funciona en todo el sur de Asia. Las campañas recientes realizadas por el actor de amenaza han empleado una puerta trasera con sede en Python citación Anondoor, lo que indica una transformación de la artesanía del orden y su agilidad técnica.
Una de las cadenas de ataque documentadas por los usuarios de Fortinet en Pakistán en algún momento de diciembre de 2024, engañando a los destinatarios para que abran un archivo .ppsx, que luego desencadena la entrega de Wooperstealer utilizando técnicas de carga fronterizo de DLL.
Se ha antitético que una ola de ataque posterior observada en marzo de 2025 emplea archivos de llegada directo de Windows (.lnk) para desatar el astuto Wooperstealer DLL, nuevamente enérgico usando la carga fronterizo de DLL, para robar datos confidenciales de hosts comprometidos.
Otro archivo .lnk manido en agosto de 2025 incluso aprovechó tácticas similares para dejar a un DLL deshonesto, solo que esta vez el DLL allana el camino para Anondoor, un implante de Python diseñado para exfiltrar la información del dispositivo a un servidor extranjero y calma más tareas para ejecutar comandos, tomar pantallas, enumerar los streperes y los directorios y verduras de las contraseñas de Google desde un servidor extranjero.
Vale la pena señalar que el uso de Anondoor por parte de la amenaza del actor de Anondoor fue documentado en julio de 2025 por el equipo conocido 404 de Seebug.
«El orden ha demostrado una robusto adaptabilidad, capas de técnicas de ofuscación para evitar la detección y adaptar su conjunto de herramientas para alinearse con las prioridades cambiantes de cosecha de inteligencia», dijo Fortinet. «Sus recientes campañas no solo ilustran la persistencia de Confucio, sino incluso su capacidad para pivotar rápidamente entre técnicas, infraestructura y familias de malware para surtir la efectividad operativa».
La divulgación se produce cuando K7 Security Labs detalló una secuencia de infección asociada con el orden de azulejo que comienza con una macro maliciosa que está diseñada para descargar un archivo .lnk que contiene el código PowerShell responsable de descargar cargas efectos adicionales y disfrutar la carga fronterizo de DLL para difundir el malware principal mientras muestra simultáneamente un documento PDF DECOY.
La carga útil final, por su parte, establece el contacto con el servidor de comando y control del actor de amenaza (C2), recopila la información del sistema y recupera una instrucción codificada que seguidamente se descifra para la ejecución utilizando cmd.exe. Igualmente está equipado para tomar capturas de pantalla, cargar archivos de la máquina y descargar archivos desde una URL remota y guardarlos localmente en un directorio temporal.
«El malware calma un período configurable y reintentos que envían los datos hasta 20 veces, rastreando fallas para respaldar la exfiltración de datos persistente y sigilosa sin alertar al heredero o los sistemas de seguridad», dijo la compañía.
