**GopherWhisper** wurde als eine China-nahe Advanced Persistent Threat (APT)-Gruppe identifiziert, die aktiv mongolische Regierungsorganisationen ins Visier nimmt. Laut einem Bericht von **ESET** setzt die Gruppe eine breite Palette von Werkzeugen ein, die überwiegend in der Programmiersprache **Go** geschrieben sind, um Daten von ihren Opfern zu kompromittieren und zu exfiltrieren. ### Modus Operandi Die Untersuchung von **ESET**, die mit The Hacker News geteilt wurde, zeigt, dass GopherWhisper legitime Dienste wie **Discord**, **Slack**, **Microsoft 365 Outlook** und file.io für die Command-and-Control (C&C)-Kommunikation und die Datenexfiltration missbraucht. Diese Taktik ermöglicht es der Gruppe, sich im normalen Netzwerkverkehr zu verbergen, was die Erkennung erschwert. Die Aktivität der Gruppe wurde erstmals im Januar 2025 entdeckt, nachdem eine neue Backdoor, **LaxGopher**, auf einem System innerhalb einer mongolischen Regierungseinrichtung gefunden wurde. Analysen deuten darauf hin, dass GopherWhisper seit mindestens November 2023 aktiv ist. ### Malware-Arsenal Das Toolkit von GopherWhisper umfasst mehrere maßgeschneiderte Malware-Familien, darunter: * **JabGopher**: Ein Injector, der die LaxGopher ("whisper.dll") Backdoor ausführt. * **LaxGopher**: Eine Go-basierte Backdoor, die **Slack** für C2 nutzt, Befehle über "cmd.exe" ausführt und Ergebnisse an den Slack-Kanal sendet. Sie lädt auch zusätzliche Malware herunter. * **CompactGopher**: Ein Go-basiertes Tool zur Dateisammlung, das Dateien nach Erweiterungen filtert (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt und .pptx), sie in ZIP-Dateien komprimiert, die Archive mit AES-CFB-128 verschlüsselt und sie an file[.]io exfiltriert. * **RatGopher**: Eine Go-basierte Backdoor, die einen privaten **Discord**-Server für C&C nutzt, Befehle ausführt und Ergebnisse an den konfigurierten Discord-Kanal zurücksendet. Sie unterstützt auch Datei-Uploads und -Downloads von file[.]io. * **SSLORDoor**: Eine C++-basierte Backdoor, die OpenSSL BIO für die Kommunikation über Raw Sockets auf Port 443 verwendet. Sie zählt Laufwerke auf, führt Dateioperationen durch und führt Befehle basierend auf C&C-Eingaben über "cmd.exe" aus. * **FriendDelivery**: Eine bösartige DLL, die als Loader und Injector für **BoxOfFriends** dient. * **BoxOfFriends**: Eine Go-basierte Backdoor, die die **Microsoft Graph API** nutzt, um Entwurfs-E-Mails für C2 mit hartkodierten Anmeldeinformationen zu erstellen. Ein früheres **Outlook**-Konto, das zu diesem Zweck verwendet wurde ("barrantaya.1010@outlook[.]com"), wurde am 11. Juli 2024 erstellt.  ### Attribution Obwohl der anfängliche Zugangsvektor unbekannt bleibt, deuten die Analysen von **ESET** auf einen China-nahen Ursprung hin. "Die Zeitstempelprüfung der **Slack**- und **Discord**-Nachrichten zeigte uns, dass die meisten während der Arbeitszeit gesendet wurden, d.h. zwischen 8 und 17 Uhr, was der China Standard Time entspricht", sagte **ESET**-Forscher Eric Howard. "Darüber hinaus war die Locale für den konfigurierten Benutzer in den Slack-Metadaten ebenfalls auf diese Zeitzone eingestellt. Wir glauben daher, dass GopherWhisper eine China-nahe Gruppe ist."