**GopherWhisper** foi identificado como um grupo de ameaça persistente avançada (APT) alinhado à China, visando ativamente organizações governamentais mongóis. De acordo com um relatório da **ESET**, o grupo emprega uma ampla gama de ferramentas, predominantemente escritas na linguagem de programação **Go**, para comprometer e exfiltrar dados de suas vítimas. ### Modus Operandi A investigação da **ESET**, compartilhada com The Hacker News, revela que o GopherWhisper abusa de serviços legítimos como **Discord**, **Slack**, **Microsoft 365 Outlook** e file.io para comunicação de comando e controle (C&C) e exfiltração de dados. Essa tática permite que o grupo se misture ao tráfego de rede normal, tornando a detecção mais desafiadora. A atividade do grupo foi detectada pela primeira vez em janeiro de 2025, após a descoberta de um novo backdoor, **LaxGopher**, em um sistema dentro de uma entidade governamental mongol. A análise sugere que o GopherWhisper está ativo desde pelo menos novembro de 2023. ### Arsenal de Malware O kit de ferramentas do GopherWhisper inclui várias famílias de malware customizadas, como: * **JabGopher**: Um injetor que executa o backdoor LaxGopher ("whisper.dll"). * **LaxGopher**: Um backdoor baseado em Go que usa **Slack** para C2, executando comandos via "cmd.exe" e publicando resultados no canal do Slack. Ele também baixa malware adicional. * **CompactGopher**: Uma utilidade de coleta de arquivos baseada em Go que filtra arquivos por extensões (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt e .pptx), os comprime em arquivos ZIP, criptografa os arquivos usando AES-CFB-128 e os exfiltra para file[.]io. * **RatGopher**: Um backdoor baseado em Go que usa um servidor **Discord** privado para C&C, executando comandos e publicando resultados de volta para o canal Discord configurado. Ele também suporta upload e download de arquivos de file[.]io. * **SSLORDoor**: Um backdoor baseado em C++ que usa OpenSSL BIO para comunicação via sockets brutos na porta 443. Ele enumera drives, realiza operações de arquivo e executa comandos com base na entrada de C&C via "cmd.exe". * **FriendDelivery**: Uma DLL maliciosa que serve como um loader e injetor para **BoxOfFriends**. * **BoxOfFriends**: Um backdoor baseado em Go que usa a **Microsoft Graph API** para criar rascunhos de e-mails para C2 usando credenciais hardcoded. Uma conta **Outlook** inicial usada para esse fim ("barrantaya.1010@outlook[.]com") foi criada em 11 de julho de 2024.  ### Atribuição Embora o vetor de acesso inicial permaneça desconhecido, a análise da **ESET** aponta para uma origem alinhada à China. "A inspeção de timestamps das mensagens do **Slack** e **Discord** nos mostrou que a maior parte delas estava sendo enviada durante o horário de expediente, ou seja, entre 8h e 17h, o que se alinha com o Horário Padrão da China", disse Eric Howard, pesquisador da **ESET**. "Além disso, a localidade do usuário configurado nos metadados do Slack também estava definida para esse fuso horário. Portanto, acreditamos que o GopherWhisper é um grupo alinhado à China."