Las agencias gubernamentales de Mongolia han surgido como objetivos de un grupo de Amenaza Persistente Avanzada (APT, por sus siglas en inglés) previamente indocumentado y alineado con China, rastreado como GopherWhisper.
«El grupo aprovecha una amplia gama de herramientas, principalmente escritas en Go, y utiliza inyectores y cargadores para implementar y ejecutar varias puertas traseras en su arsenal», dijo la firma eslovaca de ciberseguridad ESET en un informe compartido con The Hacker News. «GopherWhisper explota servicios legítimos, en particular Discord, Slack, Microsoft 365 Outlook y file.io, para comunicaciones y robos de comando y control (C&C).
El grupo fue descubierto por primera vez en enero de 2025 tras el descubrimiento de una puerta trasera sin precedentes con nombre en código LaxGopher en sistemas pertenecientes a una agencia gubernamental de Mongolia. También se han descubierto muchas otras familias de malware como parte de los arsenales de los actores de amenazas. Estas familias de malware se desarrollan principalmente utilizando Golang para recibir instrucciones de un servidor C&C, ejecutarlas y enviar los resultados.
Los actores de amenazas también utilizan herramientas de recolección de archivos para recopilar archivos específicos y exfiltrarlos en un formato comprimido para archivar(.)servicios de intercambio de archivos io y puertas traseras C++ que brindan control remoto de los hosts comprometidos.
Los datos de telemetría de ESET indican que alrededor de una docena de sistemas asociados con agencias gubernamentales de Mongolia fueron infectados con la puerta trasera, y hay docenas de otras víctimas con tráfico C&C de servidores Discord y Slack controlados por atacantes.
Actualmente no está claro exactamente cómo GopherWhisper obtiene acceso inicial a la red de destino. Sin embargo, a los andamios exitosos les siguen intentos de introducir diferentes herramientas e implantes.
JabGopher, un inyector que ejecuta la puerta trasera LaxGopher (‘whisper.dll’). LaxGopher es una puerta trasera basada en Go que utiliza Slack para C2 para ejecutar comandos a través de «cmd.exe», publicar resultados en un canal de Slack y descargar malware adicional. CompactGopher es una utilidad de recopilación de archivos basada en Go lanzada por LaxGopher que filtra archivos de interés por extensión (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt y .pptx), los comprime en archivos ZIP, cifra el archivo usando AES-CFB-128 y lo extrae en un archivo (.)io. RatGopher es una puerta trasera basada en Go que utiliza un servidor privado de Discord para recibir mensajes de C&C, ejecutar comandos, publicar resultados en canales de Discord configurados y cargar y descargar archivos desde el archivo (.)io. SSLORDoor es una puerta trasera basada en C++ que utiliza OpenSSL BIO para la comunicación a través de sockets sin formato en el puerto 443 para enumerar unidades, realizar operaciones de archivos y ejecutar comandos basados en la entrada de C&C a través de ‘cmd.exe’. FriendDeliver es una DLL maliciosa que actúa como cargador e inyector para BoxOfFriends. BoxOfFriends es una puerta trasera basada en Go que utiliza Microsoft Graph API para crear borradores de correos electrónicos para C2 con credenciales codificadas, y la cuenta de Outlook más antigua creada para este propósito (‘barrantaya.1010@outlook(.)com’) se creó el 11 de julio de 2024.
«Cuando examinamos las marcas de tiempo en los mensajes de Slack y Discord, encontramos que la mayoría de los mensajes se enviaron durante el horario comercial, entre las 8 am y las 5 pm, coincidiendo con la hora estándar de China», dijo el investigador de ESET Eric Howard. «Además, la configuración regional del usuario establecida en los metadatos de Slack también se configuró en esta zona horaria. Por lo tanto, GopherWhisper parece ser un grupo pro-China».
Source link
