ESET-forskare har upptäckt en tidigare okänd kinesiskt kopplad APT-grupp som de döpt till GopherWhisper. Gruppen har infekterat minst 12 system hos mongoliska myndigheter med Go-baserade bakdörrar som missbrukar Discord, Slack och Microsoft Outlook som dolda kommunikationskanaler.

Ett brett verktygsarsenal

GopherWhisper använder en imponerande uppsättning verktyg, de flesta skrivna i Go:

• LaxGopher: en bakdörr som använder Slack för att ta emot kommandon och skicka tillbaka resultat
• RatGopher: en bakdörr som använder en privat Discord-server för kommando och kontroll
• BoxOfFriends: en bakdörr som utnyttjar Microsoft Graph API och Outlook-utkast för C2-kommunikation
• CompactGopher: ett verktyg som samlar in filer (.doc, .xlsx, .pdf m.fl.), komprimerar dem till ZIP-arkiv, krypterar med AES och exfiltrerar via file.io
• SSLORDoor: en C++-baserad bakdörr som kommunicerar via OpenSSL på port 443

Mongoliet som mål

Telemetridata från ESET visar att cirka 12 system kopplade till en mongolisk myndighet infekterades. C2-trafik från angriparnas Discord- och Slack-servrar indikerar dessutom dussintals andra offer.

Gruppen bedöms ha varit aktiv sedan åtminstone november 2023 och upptäcktes först i januari 2025 när bakdörren LaxGopher hittades på ett myndighetssystem.

Kinesisk koppling

"Tidsstämplar på Slack- och Discord-meddelandena visade att majoriteten skickades under arbetstid, mellan klockan 8 och 17, vilket stämmer överens med kinesisk standardtid", sa ESET-forskaren Eric Howard. "Dessutom var den konfigurerade användarens lokala inställning i Slack-metadata satt till samma tidszon."

En intressant detalj från Dark Reading: forskarna hittade filer i angriparnas nedladdningsmapp med namn som "How to write RATs", vilket tyder på att operatörerna kan vara relativt nya inom malwareutveckling.

Molntjänster som sköld

Genom att använda legitima molntjänster som Discord, Slack och Outlook som C2-kanaler kan GopherWhisper kringgå traditionella nätverksbaserade försvarsmekanismer. Trafiken smälter in bland normal företagskommunikation och är svår att upptäcka med konventionella verktyg.

Organisationer rekommenderas att övervaka ovanlig trafik mot Discord, Slack och Microsoft Graph API, samt granska oväntade filöverföringar till tjänster som file.io.