**GopherWhisper**: Eine neue, heimliche APT-Gruppe Seit mindestens 2023 aktiv, wird **GopherWhisper** mit China in Verbindung gebracht und hat schätzungsweise Dutzende von Opfern kompromittiert. Die Abhängigkeit der Angreifer von legitimen Kommunikationsplattformen ermöglicht es ihnen, sich im normalen Netzwerkverkehr zu verstecken, was ihre Heimlichkeit und Persistenz erhöht. Ziel: Mongolische Regierungsstellen In einer von der Cybersicherheitsfirma **ESET** identifizierten Kampagne zielte die Bedrohungsgruppe auf eine Regierungsstelle in der Mongolei ab. Sie setzten eine Malware-Suite mit mehreren Backdoors ein, die **Slack**, **Discord** und die **Microsoft** Graph API für die Command-and-Control (C2)-Kommunikation nutzten.  Datendiebstahl über File.io **GopherWhisper** setzt außerdem ein benutzerdefiniertes Exfiltrations-Tool ein, um gestohlene Daten zu komprimieren und auf den File-Sharing-Dienst File.io hochzuladen. Dies verschleiert ihre Aktivitäten weiter und erschwert die forensische Analyse. Das GopherWhisper-Toolkit Im Januar 2025 entdeckte **ESET** die erste **GopherWhisper**-Backdoor, geschrieben in Go, und nannte sie LaxGopher. Diese Malware ruft Befehle von einem privaten **Slack**-Server ab, führt sie über die Eingabeaufforderung aus und lädt neue Payloads herunter. Weitere Untersuchungen deckten eine Suite von bösartigen Tools auf, hauptsächlich Go-basiert: * RatGopher – Go-basierte Backdoor, die einen privaten **Discord**-Server für C2 nutzt, Befehle ausführt und Ergebnisse an einen konfigurierten Kanal zurücksendet. * BoxOfFriends – Go-basierte Backdoor, die die **Microsoft** 365 **Outlook** (**Microsoft** Graph API) nutzt, um Entwurfs-E-Mails für die C2-Kommunikation zu erstellen und zu ändern. * SSLORDoor – C++-Backdoor, die OpenSSL BIO über Raw Sockets (Port 443) verwendet, Befehle ausführen und Dateioperationen (lesen, schreiben, löschen, hochladen) sowie Laufwerksaufzählungen durchführen kann. * JabGopher – Injector, der svchost.exe startet und die LaxGopher-Backdoor (als whisper.dll getarnt) in seinen Speicher injiziert. * FriendDelivery – Bösartige DLL, die als Loader und Injector fungiert und die BoxOfFriends-Backdoor ausführt. * CompactGopher – Go-basiertes Werkzeug zur Datensammlung, das Daten von der Kommandozeile komprimiert und an den Dateifreigabedienst file.io exfiltriert.  *Das GopherWhisper-Toolset. Quelle: ESET* Zugriff auf die C2-Infrastruktur der Angreifer Durch die Nutzung hartcodierter Anmeldeinformationen, die in den Go-basierten Backdoors gefunden wurden, konnten Forscher von **ESET** erfolgreich auf die Konten der Angreifer auf **Slack**, **Discord** und **Microsoft Outlook** zugreifen. Dies lieferte wertvolle Einblicke in die Operationen der Gruppe, einschließlich Befehle, hochgeladene Dateien und experimentelle Aktivitäten. Attribution zu China **ESET**s Analyse von über 6.000 **Slack**-Nachrichten und 3.000 **Discord**-Nachrichten, gekoppelt mit Metadaten vom C2-Server, deutet stark auf einen chinesischen Ursprung von **GopherWhisper** hin. > „Die Zeitstempelinspektion dieser Slack-Nachrichten zeigte, dass die Befehle zwischen 12 Uhr mittags und 12 Uhr mittags UTC ausgegeben wurden, während die Discord-Nachrichtenverläufe zeigten, dass Befehle zwischen 12 Uhr mittags und 14 Uhr UTC gesendet wurden.“ Die Analyse der Zeitzonen verstärkte diese Zuordnung weiter, da die Aktivität während der typischen Arbeitszeiten in der Zeitzone UTC+8 konzentriert war. Breitere Auswirkungen und Indikatoren für Kompromittierung Während **ESET**-Telemetriedaten 12 kompromittierte Systeme innerhalb einer mongolischen Regierungsinstitution zeigen, deutet die Analyse des C2-Verkehrs auf „Dutzende weiterer Opfer“ hin. Indicators of Compromise (IoCs) sind auf **ESET**s GitHub verfügbar, um Verteidiger bei der Identifizierung und Blockierung potenzieller Angriffe zu unterstützen. [GopherWhisper Indicators of Compromise](http://github.com/eset/malware-ioc/tree/master/gopherwhisper) sind von **ESET** verfügbar, um Verteidiger bei der Identifizierung und Blockierung von Angriffen des neuen Bedrohungsclusters zu unterstützen. [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) AI hat vier 0-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. & 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung herausfindet, was ausnutzbar ist, beweist, dass Kontrollen greifen, und den Behebungszyklus schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)