Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
Spie Cinesi in Mongolia: GopherWhisper usa Slack e Discord per infiltrarsi e rubare dati con malware in Go
Le istituzioni governative della Mongolia sono finite nel mirino di un nuovo gruppo APT collegato alla Cina, identificato come GopherWhisper. La campagna, osservata almeno dal 2023, ha mostrato un approccio molto strutturato alla compromissione e al mantenimento dell’accesso, con una catena di strumenti che include loader, injector e più backdoor.
Un elemento distintivo è l’uso esteso del linguaggio Go, scelto spesso per la portabilità e la facilità di distribuzione di binari su più ambienti.
La scoperta è partita nel gennaio 2025, quando è stata individuata una backdoor inedita chiamata LaxGopher su un sistema riconducibile a un ente governativo mongolo. Da lì è emerso un arsenale più ampio, progettato per eseguire comandi, muoversi all’interno della rete e sottrarre dati. In base ai dati di telemetria, almeno 12 sistemi risultano infettati, ma le tracce di comunicazione verso infrastrutture di comando e controllo indicano che le vittime potrebbero essere molte di più.
Abuso di servizi legittimi per Command & Control
Uno degli aspetti più rilevanti per la cybersecurity è l’abuso di servizi legittimi per il command and control. GopherWhisper sfrutta piattaforme come Slack e Discord per ricevere istruzioni e inviare risultati, rendendo il traffico più difficile da distinguere da quello normale. In parallelo, vengono utilizzati servizi cloud e canali di esfiltrazione come file.io, oltre a componenti basati su Microsoft 365 e API Microsoft Graph per tecniche di C2 meno convenzionali, ad esempio tramite bozze di email in Outlook.
Catena di infezione e strumenti osservati
- JabGopher: injector che avvia la backdoor LaxGopher, capace di eseguire comandi tramite cmd.exe e scaricare ulteriori payload.
- CompactGopher: utility per la raccolta dati che filtra documenti e file comuni, comprime in ZIP, cifra con AES CFB 128 ed esfiltra verso file.io.
- RatGopher: backdoor che usa un server Discord privato per comandi, output e trasferimento file.
- SSLORDoor: backdoor in C++ che comunica su socket raw in porta 443.
- FriendDelivery: loader DLL che distribuisce BoxOfFriends, basato su Microsoft Graph.
La combinazione tra malware in Go, servizi legittimi per C2 e moduli dedicati all’esfiltrazione rende questa minaccia particolarmente insidiosa per reti governative e organizzazioni che dipendono da strumenti di collaborazione cloud.