**GopherWhisper** a été identifié comme un groupe de menace persistante avancée (APT) aligné sur la Chine, ciblant activement des organisations gouvernementales mongoles. Selon un rapport d'**ESET**, le groupe emploie une large gamme d'outils, principalement écrits dans le langage de programmation **Go**, pour compromettre et exfiltrer des données de ses victimes. ### Mode opératoire L'enquête d'**ESET**, partagée avec The Hacker News, révèle que GopherWhisper abuse de services légitimes tels que **Discord**, **Slack**, **Microsoft 365 Outlook** et file.io pour la communication de commandement et de contrôle (C&C) et l'exfiltration de données. Cette tactique permet au groupe de se fondre dans le trafic réseau normal, rendant la détection plus difficile. L'activité du groupe a été détectée pour la première fois en janvier 2025, suite à la découverte d'une nouvelle backdoor, **LaxGopher**, sur un système au sein d'une entité gouvernementale mongole. L'analyse suggère que GopherWhisper est actif depuis au moins novembre 2023. ### Arsenal de malwares La boîte à outils de GopherWhisper comprend plusieurs familles de malwares personnalisés, notamment : * **JabGopher** : Un injecteur qui exécute la backdoor LaxGopher ("whisper.dll"). * **LaxGopher** : Une backdoor basée sur Go qui utilise **Slack** pour le C2, exécutant des commandes via "cmd.exe" et publiant les résultats sur le canal Slack. Elle télécharge également des malwares supplémentaires. * **CompactGopher** : Un utilitaire de collecte de fichiers basé sur Go qui filtre les fichiers par extensions (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt et .pptx), les compresse en fichiers ZIP, chiffre les archives en utilisant AES-CFB-128 et les exfiltre vers file[.]io. * **RatGopher** : Une backdoor basée sur Go qui utilise un serveur **Discord** privé pour le C&C, exécutant des commandes et publiant les résultats sur le canal Discord configuré. Elle prend également en charge le téléchargement et le téléversement de fichiers depuis file[.]io. * **SSLORDoor** : Une backdoor basée sur C++ qui utilise OpenSSL BIO pour la communication via des sockets bruts sur le port 443. Elle énumère les lecteurs, effectue des opérations sur les fichiers et exécute des commandes basées sur les entrées C&C via "cmd.exe". * **FriendDelivery** : Une DLL malveillante servant de chargeur et d'injecteur pour **BoxOfFriends**. * **BoxOfFriends** : Une backdoor basée sur Go qui utilise l'**API Microsoft Graph** pour créer des brouillons d'e-mails pour le C2 en utilisant des identifiants codés en dur. Un ancien compte **Outlook** utilisé à cette fin ("barrantaya.1010@outlook[.]com") a été créé le 11 juillet 2024.  ### Attribution Bien que le vecteur d'accès initial reste inconnu, l'analyse d'**ESET** pointe vers une origine alignée sur la Chine. "L'inspection des horodatages des messages **Slack** et **Discord** nous a montré que la majorité d'entre eux étaient envoyés pendant les heures de travail, c'est-à-dire entre 8h et 17h, ce qui correspond au fuseau horaire standard de la Chine", a déclaré Eric Howard, chercheur chez **ESET**. "De plus, la locale de l'utilisateur configuré dans les métadonnées Slack était également définie sur ce fuseau horaire. Nous pensons donc que GopherWhisper est un groupe aligné sur la Chine."