斯洛伐克的互联网安全软件公司ESET的研究人员最近揭露了一种全新的高级持续性威胁(APT),名为“GopherWhisper”。该组织利用Discord、Slack、Microsoft 365 Outlook和file.io等合法服务进行命令与控制(C&C)通信,以及进行数据窃取,展现出其高超的隐蔽性和技术能力。
研究人员的调查显示,自2023年11月以来,这一黑客组织至少在持续活跃。他们通过分析聊天记录和电子邮件的时间戳,确认该APT的活动区域位于中国境内。这一发现尤为重要,因为GopherWhisper之前从未被发现和记录,显示出其独特性和潜在威胁。
该APT拥有多个恶意工具,主要使用Go语言编写。研究表明,这些工具利用注入器和加载器来部署和执行各种后门,执行网络间谍活动。ESET在2025年1月的调查中,在蒙古的一个政府机构系统中发现了一个新型后门,命名为LaxGopher。深入分析后,研究人员发现更多恶意工具的存在。LaxGopher后门通过Slack进行C&C通信,能够执行命令、窃取受害者数据,并在感染的机器上获取和执行其他有效载荷。
ESET还通过分析攻击者在Discord和Slack服务器上的C&C通信流量,估计除了蒙古政府机构之外,还有数十家其他机构可能成为攻击目标。在发现的七种工具中,包括四种后门程序,如用Go语言编写的LaxGopher、RatGopher和BoxOfFriends,以及用C++编写的SSLORDoor。此外,还发现了一个名为JabGopher的注入器、基于Go语言的数据窃取工具CompactGopher和一个恶意DLL文件FriendDelivery。
由于ESET发现的这一恶意软件与现有任何已知威胁行为者的工具在代码上均无相似之处,且其战术、技术和程序(TTP)也未与其他组织重叠,因此将其归入一个新的类别。
ESET的研究员埃里克·霍华德表示,在调查过程中,团队成功提取了数千条Slack和Discord消息,以及一些Microsoft Outlook邮件草稿,从而对GopherWhisper的内部运作有了更深入的了解。霍华德指出,Slack和Discord消息的时间戳显示,大多数消息是在工作时间发送的,与中国标准时间一致,进一步支持了GopherWhisper与中共之间的关联。
此外,ESET还发现,该组织的Slack和Discord服务器最初用于测试后门功能,未清除的日志后续被用作LaxGopher和RatGopher后门在多台受感染机器上的C&C服务器。研究人员利用Microsoft Graph API提取了BoxOfFriends后门与其C&C服务器之间通信的电子邮件,为进一步研究提供了重要线索。