Учёный хакер и его ворующий покемон

Старина Confucius снова в деле — и, как всегда, не с философией, а с фишингом. Южноазиатская APT-группа, которая уже больше десяти лет пуляет малварь в сторону правительственных и военных структур Пакистана, обновила свой арсенал. На этот раз в меню — свежий WooperStealer (любитель утаскивать всё подряд) и Anondoor — новый Python-бэкдор с интеллигентными манерами и тягой к долгосрочным наблюдениям.

Классика жанра: тебе прилетает «очень важный» документ — то PPSX, то LNK-файл (спасибо, Microsoft, за универсальность). Открываешь — и вместо отчёта запускается DLL side-loading-цирк: безобидное приложение подсовывает ядру вредоносную библиотеку, которая уже шуршит в фоне и выкачивает данные, пока ты пьёшь кофе. В декабре 2024-го Confucius использовали PPSX-файлы, в марте 2025 — уже LNK, а к августу подключили Python-бэкдор Anondoor. Он не просто «подглядывает», а умеет делать всё: скриншоты, листинг файлов, сбор системной инфы, слив паролей из Chrome и выполнение удалённых команд. Всё по-взрослому, без суеты.

Раньше Confucius играли в сбор инфы на один укус (инфостилеры и короткие сессии), но теперь видно — они переходят к режиму наблюдения 24/7. Их Anondoor — это не просто шпион, это постоянный резидент системы: сидит, ждёт команду от C2, не светится и адаптируется под защиту. Fortinet отмечает: ребята не просто кодят — они реально двигаются как живые, маскируются под легитимный софт, шифруют свои вызовы, и вообще ведут себя так, будто им выдали DevOps-сертификат.

Пока Confucius философствует через PowerShell и DLL, пользователям стоит усвоить простую истину:
📎 LNK ≠ доверие
📂 PPSX ≠ отчёт из офиса
🐍 Python в письме — не про Data Science

Короче, если тебе скинули «важный документ» от человека, которого ты видел только на митинге Zoom в 2021-м — не открывай. Это не “высшая мудрость”, это новый способ остаться без паролей.

Берегите себя и свои нервы.