Grupo APT GopherWhisper vinculado a China infecta 12 sistemas gubernamentales de Mongolia con puertas traseras en Go

Instituciones gubernamentales de Mongolia han sido blanco de un grupo APT no documentado anteriormente, alineado con China y rastreado como GopherWhisper, que utiliza herramientas escritas mayoritariamente en Go y abusa de servicios legítimos como Discord, Slack, Microsoft 365 Outlook y file.io para comunicaciones C2 y exfiltración.

Instituciones gubernamentales de Mongolia han sido blanco de un grupo APT no documentado anteriormente, alineado con China y rastreado como GopherWhisper, según un informe de la empresa eslovaca de ciberseguridad ESET compartido con The Hacker News. El grupo emplea una amplia gama de herramientas escritas mayoritariamente en Go, utilizando inyectores y cargadores para desplegar y ejecutar varias puertas traseras en su arsenal. GopherWhisper abusa de servicios legítimos como Discord, Slack, Microsoft 365 Outlook y file.io para la comunicación con el servidor de comando y control (C2) y la exfiltración de datos.

El grupo fue descubierto por primera vez en enero de 2025 tras el hallazgo de una puerta trasera nunca antes vista, denominada LaxGopher, en un sistema perteneciente a una entidad gubernamental de Mongolia. Se estima que GopherWhisper ha estado activo al menos desde noviembre de 2023. Además de LaxGopher, otras familias de malware en su arsenal incluyen herramientas basadas en Go para recibir instrucciones del servidor C2, ejecutarlas y enviar los resultados, así como una herramienta de recolección de archivos y una puerta trasera en C++ que ofrece control remoto sobre los hosts comprometidos.

Los datos de telemetría de ESET muestran que aproximadamente 12 sistemas asociados con instituciones gubernamentales de Mongolia fueron infectados por las puertas traseras, y el tráfico C2 proveniente de servidores de Discord y Slack controlados por el atacante indica docenas de otras víctimas. Aún se desconoce cómo GopherWhisper obtiene acceso inicial a las redes objetivo, pero una vez logrado el acceso, despliega una amplia gama de herramientas e implantes.

- JabGopher: inyector que ejecuta la puerta trasera LaxGopher ("whisper.dll").
- LaxGopher: puerta trasera en Go que usa Slack para C2, ejecuta comandos mediante "cmd.exe" y publica los resultados en el canal de Slack, además de descargar malware adicional.
- CompactGopher: utilidad de recolección de archivos en Go, desplegada por LaxGopher, que filtra archivos por extensiones (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt, .pptx), los comprime en ZIP, los cifra con AES-CFB-128 y los exfiltra a file[.]io.
- RatGopher: puerta trasera en Go que usa un servidor privado de Discord para recibir mensajes C2, ejecutar comandos y publicar los resultados en el canal de Discord configurado, además de cargar y descargar archivos de file[.]io.
- SSLORDoor: puerta trasera en C++ que utiliza OpenSSL BIO para comunicarse a través de sockets raw en el puerto 443, enumerar unidades, realizar operaciones de archivos y ejecutar comandos basados en entrada C2 mediante "cmd.exe".
- FriendDelivery: DLL maliciosa que sirve como cargador e inyector para BoxOfFriends.
- BoxOfFriends: puerta trasera en Go que usa Microsoft Graph API para crear borradores de correos electrónicos para C2 utilizando credenciales hardcodeadas, siendo la cuenta de Outlook más antigua creada para este fin ("barrantaya.1010@outlook[.]com") el 11 de julio de 2024.

"La inspección de las marcas de tiempo de los mensajes de Slack y Discord mostró que la mayoría se enviaban durante horas laborales, entre las 8 a.m. y las 5 p.m., lo que coincide con el huso horario de China. Además, la configuración regional del usuario configurado en los metadatos de Slack también estaba en esa zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China", dijo Eric Howard, investigador de ESET.