**GopherWhisper** : Un nouvel APT furtif à l'horizon Actif depuis au moins 2023, **GopherWhisper** est lié à la Chine et aurait compromis des dizaines de victimes. La dépendance de l'acteur vis-à-vis des plateformes de communication légitimes lui permet de se fondre dans le trafic réseau normal, augmentant ainsi sa furtivité et sa persistance. Ciblage d'entités gouvernementales mongoles Dans une campagne identifiée par la société de cybersécurité **ESET**, l'acteur de menace a ciblé une entité gouvernementale en Mongolie. Ils ont déployé une suite de malwares avec plusieurs backdoors qui utilisaient **Slack**, **Discord** et l'API Microsoft Graph pour la communication de commande et de contrôle (C2).  Exfiltration de données via File.io **GopherWhisper** utilise également un outil d'exfiltration personnalisé pour compresser les données volées et les téléverser sur le service de partage de fichiers File.io. Cela obscurcit davantage leurs activités et complique l'analyse forensique. La boîte à outils GopherWhisper En janvier 2025, **ESET** a détecté le premier backdoor **GopherWhisper**, écrit en Go, et l'a nommé LaxGopher. Ce malware récupère des commandes d'un serveur **Slack** privé, les exécute à l'aide de l'Invite de commandes et télécharge de nouveaux payloads. Une enquête plus approfondie a révélé une suite d'outils malveillants, principalement basés sur Go : * RatGopher – Backdoor basé sur Go utilisant un serveur **Discord** privé pour le C2, exécutant des commandes et renvoyant les résultats vers un canal configuré. * BoxOfFriends – Backdoor basé sur Go exploitant **Microsoft** 365 **Outlook** (API Microsoft Graph) pour créer et modifier des brouillons d'e-mails pour la communication C2. * SSLORDoor – Backdoor C++ utilisant OpenSSL BIO sur des sockets bruts (port 443), capable d'exécuter des commandes et d'effectuer des opérations sur les fichiers (lecture, écriture, suppression, téléversement) et l'énumération de disques. * JabGopher – Injecteur qui lance svchost.exe et injecte le backdoor LaxGopher (déguisé en whisper.dll) dans sa mémoire. * FriendDelivery – DLL malveillante agissant comme un chargeur et un injecteur qui exécute le backdoor BoxOfFriends. * CompactGopher – Outil de collecte de fichiers basé sur Go qui compresse les données depuis la ligne de commande et les exfiltre vers le service de partage de fichiers file.io.  *La boîte à outils GopherWhisper. Source : ESET* Accès à l'infrastructure C2 des attaquants En exploitant des identifiants codés en dur trouvés dans les backdoors basés sur Go, les chercheurs d'**ESET** ont réussi à accéder aux comptes des attaquants sur **Slack**, **Discord** et **Microsoft Outlook**. Cela a fourni des informations précieuses sur les opérations du groupe, y compris les commandes, les fichiers téléversés et les activités expérimentales. Attribution à la Chine L'analyse par **ESET** de plus de 6 000 messages **Slack** et 3 000 messages **Discord**, couplée aux métadonnées du serveur C2, suggère fortement une origine chinoise pour **GopherWhisper**. > « L'inspection des horodatages de ces messages Slack a montré que les commandes étaient émises entre 00h00 et 12h00 UTC, tandis que l'historique des messages Discord révélait des commandes envoyées entre 00h00 et 14h00 UTC. » L'analyse des fuseaux horaires a renforcé cette attribution, l'activité étant concentrée pendant les heures de travail typiques dans le fuseau horaire UTC+8. Impact plus large et indicateurs de compromission Bien que les données de télémétrie d'**ESET** indiquent 12 systèmes compromis au sein d'une institution gouvernementale mongole, l'analyse du trafic C2 suggère « des dizaines d'autres victimes ». Les Indicateurs de Compromission (IoCs) sont disponibles sur le GitHub d'**ESET** pour aider les défenseurs à identifier et bloquer les attaques potentielles. [Les indicateurs de compromission de GopherWhisper](http://github.com/eset/malware-ioc/tree/master/gopherwhisper) sont disponibles auprès d'**ESET** pour aider les défenseurs à identifier et bloquer les attaques du nouveau cluster de menaces. [99 % de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les bacs à sable du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)