**GopherWhisper** ha sido identificado como un grupo de amenaza persistente avanzada (APT) alineado con China que ataca activamente a organizaciones gubernamentales mongolas. Según un informe de **ESET**, el grupo emplea una amplia gama de herramientas, predominantemente escritas en el lenguaje de programación **Go**, para comprometer y exfiltrar datos de sus víctimas. ### Modus Operandi La investigación de **ESET**, compartida con The Hacker News, revela que GopherWhisper abusa de servicios legítimos como **Discord**, **Slack**, **Microsoft 365 Outlook** y file.io para la comunicación de comando y control (C&C) y la exfiltración de datos. Esta táctica permite al grupo mezclarse con el tráfico de red normal, lo que dificulta la detección. La actividad del grupo se detectó por primera vez en enero de 2025, tras el descubrimiento de una nueva backdoor, **LaxGopher**, en un sistema dentro de una entidad gubernamental mongola. El análisis sugiere que GopherWhisper ha estado activo al menos desde noviembre de 2023. ### Arsenal de Malware El kit de herramientas de GopherWhisper incluye varias familias de malware personalizadas, entre ellas: * **JabGopher**: Un inyector que ejecuta la backdoor LaxGopher ("whisper.dll"). * **LaxGopher**: Una backdoor basada en Go que utiliza **Slack** para C2, ejecutando comandos a través de "cmd.exe" y publicando resultados en el canal de Slack. También descarga malware adicional. * **CompactGopher**: Una utilidad de recolección de archivos basada en Go que filtra archivos por extensiones (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt y .pptx), los comprime en archivos ZIP, cifra los archivos usando AES-CFB-128 y los exfiltra a file[.]io. * **RatGopher**: Una backdoor basada en Go que utiliza un servidor privado de **Discord** para C&C, ejecutando comandos y publicando resultados de vuelta al canal de Discord configurado. También soporta la carga y descarga de archivos desde file[.]io. * **SSLORDoor**: Una backdoor basada en C++ que utiliza OpenSSL BIO para la comunicación a través de sockets crudos en el puerto 443. Enumera unidades, realiza operaciones de archivo y ejecuta comandos basados en la entrada de C&C a través de "cmd.exe". * **FriendDelivery**: Una DLL maliciosa que sirve como cargador e inyector para **BoxOfFriends**. * **BoxOfFriends**: Una backdoor basada en Go que utiliza la **Microsoft Graph API** para crear borradores de correos electrónicos para C2 utilizando credenciales codificadas. Una cuenta temprana de **Outlook** utilizada para este propósito ("barrantaya.1010@outlook[.]com") fue creada el 11 de julio de 2024.  ### Atribución Si bien el vector de acceso inicial sigue siendo desconocido, el análisis de **ESET** apunta a un origen alineado con China. "La inspección de las marcas de tiempo de los mensajes de **Slack** y **Discord** nos mostró que la mayoría de ellos se enviaban durante el horario laboral, es decir, entre las 8 a.m. y las 5 p.m., lo que se alinea con la Hora Estándar de China", dijo Eric Howard, investigador de **ESET**. "Además, la configuración regional del usuario en los metadatos de Slack también se estableció en esta zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China."