**GopherWhisper**: Uma Nova APT Furtiva no Pedigree Ativo desde pelo menos 2023, o **GopherWhisper** tem sido associado à China e estima-se que tenha comprometido dezenas de vítimas. A dependência do ator em plataformas de comunicação legítimas permite que ele se misture ao tráfego de rede normal, aumentando sua furtividade e persistência. Visando Entidades Governamentais Mongóis Em uma campanha identificada pela empresa de cibersegurança **ESET**, o ator de ameaças visou uma entidade governamental na Mongólia. Eles implantaram um conjunto de malware com múltiplos backdoors que usaram **Slack**, **Discord** e a API do **Microsoft** Graph para comunicação de comando e controle (C2).  Exfiltração de Dados via File.io O **GopherWhisper** também emprega uma ferramenta de exfiltração personalizada para comprimir dados roubados e enviá-los para o serviço de compartilhamento de arquivos File.io. Isso obscurece ainda mais suas atividades e complica a análise forense. O Kit de Ferramentas GopherWhisper Em janeiro de 2025, a **ESET** detectou o primeiro backdoor **GopherWhisper**, escrito em Go, e o nomeou LaxGopher. Este malware recupera comandos de um servidor **Slack** privado, executa-os usando o Prompt de Comando e baixa novos payloads. Investigações adicionais revelaram um conjunto de ferramentas maliciosas, principalmente baseadas em Go: * RatGopher – Backdoor baseado em Go usando um servidor **Discord** privado para C2, executando comandos e postando resultados de volta para um canal configurado. * BoxOfFriends – Backdoor baseado em Go utilizando o **Microsoft** 365 **Outlook** (API do **Microsoft** Graph) para criar e modificar rascunhos de e-mail para comunicação C2. * SSLORDoor – Backdoor em C++ usando OpenSSL BIO sobre sockets brutos (porta 443), capaz de executar comandos e realizar operações de arquivo (ler, escrever, excluir, enviar) e enumeração de drives. * JabGopher – Injetor que inicia svchost.exe e injeta o backdoor LaxGopher (disfarçado como whisper.dll) em sua memória. * FriendDelivery – DLL maliciosa agindo como um loader e injetor que executa o backdoor BoxOfFriends. * CompactGopher – Ferramenta de coleta de arquivos baseada em Go que comprime dados da linha de comando e os exfiltra para o serviço de compartilhamento de arquivos file.io.  *O conjunto de ferramentas GopherWhisper. Fonte: ESET* Acessando a Infraestrutura C2 do Atacante Ao alavancar credenciais codificadas encontradas dentro dos backdoors baseados em Go, pesquisadores da **ESET** acessaram com sucesso as contas do atacante no **Slack**, **Discord** e **Microsoft Outlook**. Isso forneceu insights inestimáveis sobre as operações do grupo, incluindo comandos, arquivos enviados e atividades experimentais. Atribuição à China A análise da **ESET** de mais de 6.000 mensagens do **Slack** e 3.000 mensagens do **Discord**, juntamente com metadados do servidor C2, sugere fortemente uma origem chinesa para o **GopherWhisper**. > “A inspeção de timestamps dessas mensagens do Slack mostrou que os comandos foram emitidos entre 0h e 12h UTC, enquanto o histórico de mensagens do Discord revelou comandos sendo enviados entre 0h e 14h UTC.” A análise de fuso horário reforçou ainda mais essa atribuição, com atividades concentradas durante o horário comercial típico dentro do fuso horário UTC+8. Impacto Mais Amplo e Indicadores de Comprometimento Embora os dados de telemetria da **ESET** indiquem 12 sistemas comprometidos dentro de uma instituição governamental mongol, a análise do tráfego C2 sugere “dezenas de outras vítimas”. Indicadores de Comprometimento (IoCs) estão disponíveis no GitHub da **ESET** para ajudar os defensores a identificar e bloquear ataques potenciais. [Indicadores de comprometimento do GopherWhisper](http://github.com/eset/malware-ioc/tree/master/gopherwhisper) estão disponíveis na **ESET** para ajudar os defensores a identificar e bloquear ataques do novo cluster de ameaças. [99% do que a Mythos Encontrou Ainda Não Foi Corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. Na Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)