ESET Research ha revelado la existencia de un nuevo grupo de amenazas persistentes avanzadas (APT) alineado con China, al que han denominado GopherWhisper. Este grupo ha establecido un objetivo específico: las instituciones gubernamentales de Mongolia.
GopherWhisper utiliza un arsenal de herramientas desarrollado mayormente en el lenguaje de programación Go. Estos incluyen inyectores y cargadores que permiten la implementación y ejecución de variados backdoors. Durante una campaña observada, los atacantes dirigieron sus esfuerzos hacia una entidad gubernamental de Mongolia.
Una táctica notable de GopherWhisper es su aprovechamiento de servicios legítimos como Discord, Slack y Microsoft 365 Outlook, no solo para comunicarse y controlar su infraestructura, sino también para exfiltrar datos. Los investigadores lograron identificar múltiples tokens de API de Slack y Discord, lo que facilitó la extracción de un considerable volumen de mensajes de control y comando que arrojaron luz sobre las actividades del grupo.
Los hallazgos del equipo de ESET detallan un conjunto diverso de herramientas, que incluye backdoors personalizados como LaxGopher, RatGopher y BoxOfFriends, así como un inyector conocido como JabGopher y una herramienta de exfiltración llamada CompactGopher. Estas amenazas se comunicaban a través de los servicios mencionados, lo cual permitió a los investigadores examinar el tráfico de control y comando y captar información crucial sobre las operaciones internas y las actividades posteriores a la intrusión.
El grupo fue identificado por primera vez en enero de 2025 cuando se descubrió un backdoor no documentado en el sistema de una entidad gubernamental en Mongolia. A medida que la investigación avanzó, se desenterraron múltiples herramientas maliciosas que no mostraban similitudes de código con actores de amenazas conocidos ni compartían tácticas o técnicas.
La elección del nombre GopherWhisper provino tanto de la mayoría de sus herramientas, que están escritas en Go, como de un componente malicioso identificado con el nombre «whisper.dll». El malware se infiltra en los sistemas mediante inyecciones disfrazadas, y algunas de las comunicaciones se llevaban a cabo durante horarios de trabajo que coinciden con la zona horaria estándar de China.
Entre las herramientas descubiertas se destaca el backdoor LaxGopher, que interactúa con un servidor privado de Slack para recibir instrucciones, y cuyo funcionamiento también permite la descarga de malware adicional para infectar el sistema objetivo. Por otro lado, RatGopher se comunica a través de Discord, mientras que BoxOfFriends utiliza la API de Microsoft Graph para crear y modificar mensajes de correo electrónico con fines de control.
En resumen, la investigación ha conseguido dejar al descubierto a GopherWhisper, revelando un grupo de APT que combina una sólida variedad de técnicas y herramientas para infiltrarse y operar en entornos gubernamentales. La información detallada sobre su arsenal y el tráfico de control puede encontrarse en el documento técnico publicó por ESET.
Fuente: WeLiveSecurity by eSet.
