ESET-forskare har upptäckt en tidigare okänd kinesiskt kopplad APT-grupp som de döpt till GopherWhisper. Gruppen har tagit sig in i minst 12 system hos mongoliska myndigheter med Go-baserade bakdörrar som utnyttjar Discord, Slack och Microsoft Outlook som dolda kommunikationskanaler.

Ett brett verktygsarsenal

GopherWhisper använder en imponerande uppsättning verktyg, de flesta skrivna i Go:

• LaxGopher: en bakdörr som använder Slack för att ta emot kommandon och skicka tillbaka resultat
• RatGopher: en bakdörr som använder en privat Discord-server för styrning och kontroll
• BoxOfFriends: en bakdörr som utnyttjar Microsoft Graph API och Outlook-utkast för dold kommunikation
• CompactGopher: ett verktyg som samlar in filer (.doc, .xlsx, .pdf m.fl.), komprimerar dem till ZIP-arkiv, krypterar med AES och skickar ut dem via file.io
• SSLORDoor: en C++-baserad bakdörr som kommunicerar via OpenSSL på port 443

Mongoliet som mål

Telemetridata från ESET visar att cirka 12 system kopplade till en mongolisk myndighet drabbades. Trafik från angriparnas Discord- och Slack-servrar tyder dessutom på dussintals andra offer.

Gruppen bedöms ha varit aktiv sedan åtminstone november 2023 och upptäcktes först i januari 2025 när bakdörren LaxGopher hittades på ett myndighetssystem.

Kinesisk koppling

"Tidsstämplar på Slack- och Discord-meddelandena visade att majoriteten skickades under arbetstid, mellan klockan 8 och 17, vilket stämmer överens med kinesisk standardtid", sa ESET-forskaren Eric Howard. "Dessutom var den konfigurerade användarens lokala inställning i Slack-metadata satt till samma tidszon."

En intressant detalj från Dark Reading: forskarna hittade filer i angriparnas nedladdningsmapp med namn som "How to write RATs", vilket tyder på att operatörerna kan vara relativt nya inom skadlig kodutveckling.

Molntjänster som sköld

Genom att använda legitima molntjänster som Discord, Slack och Outlook som styrkanaler kan GopherWhisper kringgå traditionella nätverksbaserade skydd. Trafiken smälter in bland normal företagskommunikation och är svår att upptäcka med vanliga verktyg.

Organisationer rekommenderas att övervaka ovanlig trafik mot Discord, Slack och Microsoft Graph API, samt granska oväntade filöverföringar till tjänster som file.io.