El actor de amenazas conocido como Confucio ha sido atribuido a una nueva campaña de suplantación de identidad dirigida a Pakistán con familias de malware como WooperStealer y Anondoor.
«Durante la última década, Confucio ha atacado repetidamente a agencias gubernamentales, organizaciones militares, contratistas de defensa e industrias críticas, especialmente en Pakistán, utilizando el spear-phishing y documentos maliciosos como vectores de acceso inicial», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs dijo .
Confucio es un grupo de hackers de larga data que se cree que ha estado activo desde 2013 y que opera en todo el sur de Asia. En las últimas campañas emprendidas por el actor de amenazas, se ha empleado una puerta trasera basada en Python llamada Anondoor, lo que indica una evolución en el oficio del grupo y en su agilidad técnica.
Una de las cadenas de ataques documentadas por Fortinet tuvo como objetivo a usuarios de Pakistán en algún momento de diciembre de 2024, engañando a los destinatarios para que abrieran un archivo.PPSX, lo que luego activaba la entrega de WooperStealer mediante técnicas de carga lateral de DLL.
Se descubrió que una ola de ataques posterior observada en marzo de 2025 empleaba archivos de acceso directo de Windows (.LNK) para liberar la maliciosa DLL WooperStealer, que se lanzó nuevamente mediante la carga lateral de DLL, para robar datos confidenciales de los hosts comprometidos.
Otro archivo.LNK descubierto en agosto de 2025 también utilizó tácticas similares para descargar una DLL no autorizada, solo que esta vez la DLL allana el camino para Anondoor, un implante de Python diseñado para filtrar la información del dispositivo a un servidor externo y esperar a que se realicen más tareas para ejecutar comandos, tomar capturas de pantalla, enumerar archivos y directorios y volcar contraseñas de Google Chrome.
Vale la pena señalar que el uso de Anondoor por parte del actor de amenazas fue documentadas en julio de 2025 por el equipo KnownSec 404 de Seebug.
«El grupo ha demostrado una gran adaptabilidad, combinando técnicas de ofuscación para evadir la detección y adaptando su conjunto de herramientas para alinearlo con las cambiantes prioridades de recopilación de información», dijo Fortinet. «Sus campañas recientes no solo ilustran la persistencia de Confucio, sino también su capacidad para cambiar rápidamente entre las técnicas, la infraestructura y las familias de malware a fin de mantener la eficacia operativa».
La revelación se produce cuando K7 Security Labs detalló una secuencia de infección asociada con el Mosaico grupo que comienza con una macro malintencionada diseñada para descargar un archivo.LNK que contiene código de PowerShell, responsable de descargar cargas útiles adicionales y aprovechar la carga lateral de DLL para lanzar el malware principal y, al mismo tiempo, mostrar un documento PDF señuelo.
La carga útil final, por su parte, establece contacto con el servidor de comando y control (C2) del actor de la amenaza, recopila información del sistema y recupera una instrucción codificada que, posteriormente, se descifra para su ejecución mediante cmd.exe. También está equipado para tomar capturas de pantalla, cargar archivos desde la máquina y descargar archivos desde una URL remota y guardarlos localmente en un directorio temporal.
«El malware espera un período configurable y vuelve a intentar enviar los datos hasta 20 veces, rastreando las fallas para garantizar una exfiltración de datos persistente y sigilosa sin alertar al usuario ni a los sistemas de seguridad», dijo la empresa dijo .