**GopherWhisper**は、モンゴルの政府機関を積極的に標的とする中国と連携した高度な持続的脅威（APT）グループとして特定されました。**ESET**の報告によると、このグループは、被害者のデータを侵害し、流出させるために、主に**Go**プログラミング言語で書かれた幅広いツールを採用しています。 ### 手口 The Hacker Newsと共有された**ESET**の調査によると、GopherWhisperは**Discord**、**Slack**、**Microsoft 365 Outlook**、file.ioなどの正規サービスをコマンド・アンド・コントロール（C&C）通信およびデータ流出のために悪用しています。この戦術により、グループは通常のネットワークトラフィックに紛れ込み、検知をより困難にしています。 このグループの活動は、モンゴルの政府機関内のシステムで新しいバックドアである**LaxGopher**が発見された後、2025年1月に初めて検出されました。分析によると、GopherWhisperは少なくとも2023年11月から活動していると示唆されています。 ### マルウェアの武器庫 GopherWhisperのツールキットには、以下のような複数のカスタム構築されたマルウェアファミリーが含まれています。 * **JabGopher**: LaxGopher（「whisper.dll」）バックドアを実行するインジェクター。 * **LaxGopher**: C2に**Slack**を使用するGoベースのバックドア。コマンドを「cmd.exe」経由で実行し、結果をSlackチャンネルに公開します。追加のマルウェアもダウンロードします。 * **CompactGopher**: 拡張子（.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt, .pptx）でファイルをフィルタリングし、ZIPファイルに圧縮し、AES-CFB-128を使用してアーカイブを暗号化し、file[.]ioに流出させるGoベースのファイル収集ユーティリティ。 * **RatGopher**: プライベート**Discord**サーバーをC&Cとして使用するGoベースのバックドア。コマンドを実行し、設定されたDiscordチャンネルに結果を公開します。file[.]ioからのファイルのアップロードとダウンロードもサポートします。 * **SSLORDoor**: OpenSSL BIOを使用してポート443の生のソケット経由で通信するC++ベースのバックドア。「cmd.exe」経由でC&Cからの入力に基づいてドライブを列挙し、ファイル操作を実行し、コマンドを実行します。 * **FriendDelivery**: **BoxOfFriends**のローダーおよびインジェクターとして機能する悪意のあるDLL。 * **BoxOfFriends**: **Microsoft Graph API**を使用して、ハードコードされた認証情報でC2用のドラフトメールを作成するGoベースのバックドア。この目的で使用された初期の**Outlook**アカウント（「barrantaya.1010@outlook[.]com」）は、2024年7月11日に作成されました。  ### 帰属 初期アクセスベクトルは不明のままですが、**ESET**の分析は中国と連携した起源を示唆しています。「**Slack**と**Discord**のメッセージのタイムスタンプ検査により、その大部分が勤務時間中、つまり午前8時から午後5時の間に送信されていることがわかりました。これは中国標準時と一致します」と**ESET**の研究者であるEric Howard氏は述べています。「さらに、Slackメタデータ内の設定済みユーザーのロケールもこのタイムゾーンに設定されていました。したがって、GopherWhisperは中国と連携したグループであると考えています。」