**GopherWhisper**: Una nueva y sigilosa APT en escena Activo desde al menos 2023, **GopherWhisper** ha sido vinculado a China y se estima que ha comprometido a docenas de víctimas. La dependencia del actor de plataformas de comunicación legítimas les permite mezclarse con el tráfico de red normal, aumentando su sigilo y persistencia. Apuntando a Entidades Gubernamentales de Mongolia En una campaña identificada por la empresa de ciberseguridad **ESET**, el actor de amenazas apuntó a una entidad gubernamental en Mongolia. Desplegaron un conjunto de malware con múltiples backdoors que utilizaron **Slack**, **Discord** y la API de **Microsoft** Graph para la comunicación de comando y control (C2).  Exfiltración de datos a través de File.io **GopherWhisper** también emplea una herramienta de exfiltración personalizada para comprimir los datos robados y subirlos al servicio de intercambio de archivos File.io. Esto oscurece aún más sus actividades y complica el análisis forense. El Kit de Herramientas GopherWhisper En enero de 2025, **ESET** detectó el primer backdoor de **GopherWhisper**, escrito en Go, y lo nombró LaxGopher. Este malware recupera comandos de un servidor privado de **Slack**, los ejecuta usando el Símbolo del sistema y descarga nuevos payloads. Investigaciones posteriores revelaron un conjunto de herramientas maliciosas, principalmente basadas en Go: * RatGopher – Backdoor basado en Go que utiliza un servidor privado de **Discord** para C2, ejecutando comandos y publicando resultados en un canal configurado. * BoxOfFriends – Backdoor basado en Go que aprovecha **Microsoft** 365 **Outlook** (**Microsoft** Graph API) para crear y modificar borradores de correos electrónicos para la comunicación C2. * SSLORDoor – Backdoor en C++ que utiliza OpenSSL BIO sobre sockets crudos (puerto 443), capaz de ejecutar comandos y realizar operaciones de archivo (leer, escribir, eliminar, subir) y enumeración de unidades. * JabGopher – Inyector que lanza svchost.exe e inyecta el backdoor LaxGopher (disfrazado como whisper.dll) en su memoria. * FriendDelivery – DLL maliciosa que actúa como cargador e inyector que ejecuta el backdoor BoxOfFriends. * CompactGopher – Herramienta de recolección de archivos basada en Go que comprime datos desde la línea de comandos y los exfiltra al servicio de intercambio de archivos file.io.  *El conjunto de herramientas GopherWhisper. Fuente: ESET* Acceso a la Infraestructura C2 del Atacante Al aprovechar las credenciales codificadas encontradas dentro de los backdoors basados en Go, los investigadores de **ESET** accedieron con éxito a las cuentas del atacante en **Slack**, **Discord** y **Microsoft Outlook**. Esto proporcionó información invaluable sobre las operaciones del grupo, incluidos comandos, archivos subidos y actividades experimentales. Atribución a China El análisis de **ESET** de más de 6.000 mensajes de **Slack** y 3.000 mensajes de **Discord**, junto con metadatos del servidor C2, sugiere fuertemente un origen chino para **GopherWhisper**. > “La inspección de las marcas de tiempo de estos mensajes de Slack mostró que los comandos se emitieron entre las 12 a. m. y las 12 p. m. UTC, mientras que el historial de mensajes de Discord reveló que los comandos se enviaron entre las 12 a. m. y las 2 p. m. UTC.” El análisis de zonas horarias reforzó aún más esta atribución, con actividad concentrada durante las horas de trabajo típicas dentro de la zona horaria UTC+8. Impacto Más Amplio e Indicadores de Compromiso Si bien los datos de telemetría de **ESET** indican 12 sistemas comprometidos dentro de una institución gubernamental de Mongolia, el análisis del tráfico C2 sugiere "docenas de otras víctimas". Los Indicadores de Compromiso (IoCs) están disponibles en el GitHub de **ESET** para ayudar a los defensores a identificar y bloquear posibles ataques. Los [Indicadores de Compromiso de GopherWhisper](http://github.com/eset/malware-ioc/tree/master/gopherwhisper) están disponibles en **ESET** para ayudar a los defensores a identificar y bloquear ataques del nuevo clúster de amenazas. [El 99% de lo que Mythos encontró sigue sin parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)