斯洛伐克的网络安全公司ESET的研究团队近期发现了一种全新的高级持续性威胁(APT),命名为“GopherWhisper”。该威胁利用Discord、Slack、Microsoft 365 Outlook以及file.io等合法平台进行命令与控制(C&C)通信,实施数据窃取和网络间谍活动。
根据研究人员的分析,自2023年11月以来,“GopherWhisper”至少一直活跃至今。通过对聊天记录和电子邮件时间戳的深入调查,ESET确认这个黑客组织的活动主要在中国境内进行。值得注意的是,这一APT此前并未被记录,表现出其独特性和隐蔽性。研究团队发现,该组织使用多种恶意工具,其中大多数是使用Go语言编写的。这些工具通过注入器和加载器的方式部署,形成了一个复杂的后门网络。
在2025年1月,ESET的研究人员在蒙古的一家政府机构内检测到一个新型后门,命名为LaxGopher。经过深入分析,研究人员发现LaxGopher后门通过Slack进行C&C通信,能够执行命令、窃取用户数据,并在受感染的设备上获取和执行其他有效载荷。
ESET的分析显示,除了被攻击的蒙古政府机构,可能还有数十个其他组织成为了这一APT的目标。研究人员在发现的七种恶意工具中,四种是后门程序,分别为用Go语言编写的LaxGopher、RatGopher和BoxOfFriends,以及用C++编写的SSLORDoor。此外,还发现了一个注入器(JabGopher)、一个基于Go语言的数据窃取工具(CompactGopher)和一个恶意DLL文件(FriendDelivery)。
由于ESET发现的这组恶意软件在代码上与现有任何已知威胁行为者的工具都没有相似之处,且其使用的战术、技术和程序(TTP)与其他组织也无重叠,ESET决定将其归入一个全新的类别。
ESET的研究员埃里克·霍华德透露,调查过程中,研究团队成功提取了数千条Slack和Discord消息,以及一些Microsoft Outlook邮件草稿,从而对“GopherWhisper”的内部运作有了更深入的了解。霍华德解释道,通过检查Slack和Discord消息的时间戳,发现大部分消息都是在工作日的早上8点到下午5点之间发送,这与中国标准时间一致。此外,Slack元数据中的用户地区设置也显示为中国时区,因此团队进一步确认了“GopherWhisper”与中共的关联。
ESET的调查还揭示,该组织的Slack和Discord服务器最初被用作测试后门功能,随后在未清除日志的情况下又被用作LaxGopher和RatGopher后门在多台受感染机器上的C&C服务器。通过利用Microsoft Graph API,研究人员还提取了BoxOfFriends后门与其C&C服务器之间的电子邮件通信,进一步揭示了这一网络间谍活动的复杂性和隐蔽性。