Instituições governamentais da Mongólia passaram a ser alvo de um grupo de ameaças persistentes avançadas (APT) alinhado à China e até então não documentado, identificado como GopherWhisper.
“O grupo utiliza uma ampla variedade de ferramentas, em sua maioria escritas em Go, empregando injetores e carregadores para implantar e executar diferentes backdoors em seu arsenal”, informou a empresa eslovaca de cibersegurança ESET em relatório.
“O GopherWhisper abusa de serviços legítimos, especialmente Discord, Slack, Microsoft 365 Outlook e file.io, para comunicação de comando e controle (C2) e para exfiltração de dados.”
O grupo foi detectado em janeiro de 2025, após a descoberta de um backdoor inédito, codinome LaxGopher, em um sistema pertencente a uma entidade governamental mongol.
Parte do arsenal do ator de ameaça inclui outras famílias de malware, desenvolvidas principalmente em Golang, projetadas para receber instruções do servidor de comando e controle, executá-las e devolver os resultados.
Entre as ferramentas usadas pelo grupo está um utilitário de coleta de arquivos, empregado para reunir documentos de interesse e exfiltrá-los em formato compactado por meio do serviço file.io.
O conjunto também inclui um backdoor em C++ que permite controle remoto sobre as máquinas comprometidas.
A telemetria da ESET mostra que cerca de 12 sistemas ligados à instituição governamental da Mongólia foram infectados pelos backdoors.
Já o tráfego de comando e controle observado a partir de servidores controlados pelos invasores no Discord e no Slack indica dezenas de outras vítimas.
Ainda não se sabe exatamente como o GopherWhisper obtém o acesso inicial às redes-alvo.
Uma vez estabelecido o acesso, o grupo tenta implantar uma série de ferramentas e implantes, incluindo:
JabGopher, um injetor que executa o backdoor LaxGopher, identificado como “whisper.dll”.
LaxGopher, um backdoor em Go que usa o Slack para C2, executa comandos via “cmd.exe”, publica os resultados em canais e também baixa malware adicional.
CompactGopher, um utilitário em Go para coleta de arquivos, capaz de filtrar documentos, compactá-los em ZIP, criptografá-los com AES-CFB-128 e exfiltrá-los via file.io.
RatGopher, um backdoor em Go que usa um servidor privado no Discord para receber comandos, executar instruções e transferir arquivos.
SSLORDoor, um backdoor em C++ que usa OpenSSL para comunicação via sockets na porta 443, permitindo enumeração de discos, operações em arquivos e execução de comandos.
FriendDelivery, uma DLL maliciosa que atua como carregador e injetor para o BoxOfFriends.
BoxOfFriends, um backdoor em Go que usa a API da Microsoft para criar rascunhos de e-mails destinados ao C2, com base em credenciais embutidas.
A conta do Outlook criada para esse fim, “barrantaya.1010@outlook[.]com”, foi registrada em 11 de julho de 2024.
“A análise dos horários das mensagens no Slack e no Discord mostrou que a maior parte delas era enviada durante o horário comercial, entre 8h e 17h, compatível com o fuso da China”, afirmou Eric Howard, pesquisador da ESET.
“Além disso, a configuração regional definida nos metadados do Slack também estava alinhada a esse fuso. Por isso, acreditamos que o GopherWhisper seja um grupo alinhado à China.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...