Исследователи обнаружили, что ранее неизвестная связанная с Китаем хакерская группировка атаковала правительственное учреждение Монголии и использовала популярные коммуникационные платформы, такие как Discord, Slack и Microsoft 365 Outlook, для управления его деятельностью и кражи данных.
Группа, которую исследователи из компании ESET, специализирующейся на кибербезопасности, назвали GopherWhisper, действовала как минимум с ноября 2023 года и была обнаружена в январе 2025 года после того, как следователи нашли ранее неизвестный бэкдор в сети одного из государственных учреждений Монголии.
Вредоносная программа, получившая название LaxGopher, была развернута примерно на дюжине систем, принадлежащих организации, сообщила словацкая компания по кибербезопасности в своем отчете в четверг. Исследователи полагают, что кампания, вероятно, затронула еще десятки жертв, хотя они не указали местонахождение или секторы их деятельности.
По данным ESET, хакеры активно использовали легитимные онлайн-сервисы для сокрытия своей деятельности, применяя Discord, Slack и Microsoft 365 Outlook для связи со взломанными машинами и управления инфраструктурой управления.
Группа развернула ряд специально разработанных инструментов, написанных преимущественно на языке программирования Go, включая загрузчики, инжекторы и бэкдоры, предназначенные для поддержания доступа к целевым системам.
Среди выявленных инструментов были RatGopher, BoxOfFriends, инжектор JabGopher, загрузчик FriendDelivery и бэкдор, известный как SSLORDoor, сообщили исследователи.
Для удаления украденной информации из скомпрометированных сетей злоумышленники использовали специальный инструмент для извлечения данных под названием CompactGopher, который сжимал файлы и загружал их в файлообменный сервис File.io.
Данные телеметрии от ESET показывают, что бэкдорами были заражены около 12 систем, связанных с монгольским государственным учреждением, а трафик C&C с контролируемых злоумышленниками серверов Discord и Slack указывает на десятки других жертв.
Точный механизм получения GopherWhisper первоначального доступа к целевым сетям в настоящее время неизвестен. Однако за успешным внедрением следуют попытки развертывания широкого спектра инструментов и имплантатов:
- JabGopher, инжектор, запускающий бэкдор LaxGopher ("whisper.dll").
- LaxGopher, бэкдор на языке Go, использующий Slack в качестве C2 для выполнения команд через "cmd.exe" и публикации результатов в канал Slack, а также загрузки дополнительного вредоносного ПО.
- CompactGopher, утилита для сбора файлов на языке Go, внедряемая LaxGopher, которая фильтрует интересующие файлы по расширениям (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt и .pptx.), сжимает их в ZIP-архивы, шифрует архивы с помощью AES-CFB-128 и передает их в file[.]io.
- RatGopher — бэкдор на Go, использующий частный сервер Discord для получения сообщений C&C, выполнения команд и публикации результатов в настроенном канале Discord, а также для загрузки и скачивания файлов с file[.]io.
- SSLORDoor — бэкдор на C++, использующий OpenSSL BIO для связи через необработанные сокеты на порту 443 для перечисления дисков, выполнения файловых операций и запуска команд на основе ввода C&C через "cmd.exe".
- FriendDelivery — вредоносная DLL, служащая загрузчиком и инжектором для BoxOfFriends.
- BoxOfFriends — бэкдор на Go, использующий API Microsoft Graph для создания черновиков электронных писем для C2 с использованием жестко закодированных учетных данных; самая ранняя учетная запись Outlook, созданная для этой цели ("barrantaya.1010@outlook[.]com"), была создана 11 июля 2024 года.
Компания ESET заявила, что операция, по всей видимости, соответствует деятельности в сфере кибершпионажа, хотя и не назвала конкретную организацию, ответственную за эту кампанию.
«Анализ временных меток сообщений в Slack и Discord показал, что большая их часть была отправлена в рабочее время, то есть с 8:00 до 17:00, что соответствует китайскому стандартному времени», — заявил исследователь ESET Эрик Ховард. «Кроме того, в метаданных Slack для настроенного пользователя также был установлен этот часовой пояс. Поэтому мы считаем, что GopherWhisper — это группа, связанная с Китаем».