Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GopherWhisper to nowo opisana grupa APT, którą badacze powiązali z kampanią wymierzoną w instytucje rządowe Mongolii. Operacja wyróżnia się wykorzystaniem rozbudowanego zestawu własnych narzędzi, napisanych głównie w języku Go, oraz nadużywaniem legalnych usług internetowych do komunikacji z infrastrukturą sterującą i wyprowadzania danych.
Z perspektywy obrony jest to szczególnie istotne zagrożenie, ponieważ ruch generowany przez malware może przypominać zwykłą aktywność użytkowników korzystających z popularnych platform chmurowych. To utrudnia wykrywanie incydentów opartych wyłącznie na klasycznej analizie reputacji domen czy prostych regułach sieciowych.
W skrócie
Badacze wykryli GopherWhisper podczas analizy incydentu w środowisku rządowym Mongolii. Ustalono, że grupa korzysta z wielu własnych implantów, loaderów i backdoorów, w tym rodzin LaxGopher, RatGopher, BoxOfFriends, CompactGopher oraz SSLORDoor.
- Ataki były ukierunkowane na podmioty rządowe w Mongolii.
- Malware wykorzystywał m.in. Slack, Discord oraz Microsoft 365 Outlook do komunikacji C2 i eksfiltracji danych.
- Telemetria wskazała co najmniej 12 zainfekowanych systemów w analizowanej organizacji.
- Charakter operacji sugeruje kampanię nastawioną na cyberwywiad i kradzież dokumentów.
Kontekst / historia
Grupa została zidentyfikowana w styczniu 2025 roku, gdy odkryto wcześniej nieopisanego backdoora LaxGopher w systemie należącym do mongolskiej jednostki rządowej. Dalsze dochodzenie ujawniło kolejne komponenty należące do tego samego zestawu narzędzi oraz brak wyraźnych podobieństw do wcześniej sklasyfikowanych aktorów zagrożeń.
Według analizy operacje mogły trwać co najmniej od listopada 2023 roku. W procesie atrybucji znaczenie miały metadane, znaczniki czasu oraz godziny aktywności operatorów, które odpowiadały strefie UTC+8. To, wraz z dodatkowymi śladami w konfiguracji środowiska, doprowadziło badaczy do wniosku o możliwych powiązaniach z Chinami.
Analiza techniczna
Najbardziej charakterystyczną cechą kampanii jest modułowy zestaw malware oparty głównie na Go, uzupełniony o komponenty w C++ oraz złośliwe biblioteki DLL. Poszczególne narzędzia realizują różne role w łańcuchu ataku, od uruchamiania implantów po eksfiltrację plików.
JabGopher pełni funkcję injectora uruchamiającego backdoora LaxGopher. Mechanizm polega na utworzeniu nowego procesu systemowego i wstrzyknięciu do jego pamięci złośliwego komponentu, co pomaga ukryć obecność malware i utrudnia wykrycie przez narzędzia monitorujące procesy.
LaxGopher to backdoor napisany w Go, komunikujący się z prywatnym serwerem Slack. Odbiera polecenia, wykonuje je lokalnie przy użyciu interpretera poleceń systemu Windows, a następnie zwraca wyniki do kanału sterującego. Potrafi też pobierać dodatkowe komponenty, dzięki czemu może rozszerzać zakres kompromitacji.
CompactGopher odpowiada za zbieranie i przygotowanie danych do kradzieży. Narzędzie filtruje pliki według określonych rozszerzeń, takich jak dokumenty biurowe, PDF, pliki tekstowe i obrazy, następnie kompresuje je do archiwów ZIP, szyfruje i wysyła poza środowisko ofiary.
RatGopher wykorzystuje Discord jako kanał C2. Funkcjonalnie przypomina LaxGopher, ale zamiast Slacka opiera się na prywatnym serwerze Discord, gdzie wykonuje komendy i publikuje wyniki. Obsługa transferu plików zwiększa elastyczność operatorów i pozwala im używać wielu legalnych usług równolegle.
SSLORDoor jest bardziej klasycznym backdoorem napisanym w C++, korzystającym z komunikacji przez surowe gniazda na porcie 443. Umożliwia enumerację dysków, operacje na plikach i wykonywanie komend zdalnych, a sam wybór portu dodatkowo utrudnia odróżnienie ruchu złośliwego od zwykłego ruchu szyfrowanego.
W późniejszym etapie badacze odkryli też FriendDelivery oraz BoxOfFriends. FriendDelivery działa jako loader i injector w postaci złośliwej biblioteki DLL, natomiast BoxOfFriends jest backdoorem komunikującym się przez Microsoft Graph API. Zamiast tradycyjnego kanału C2 tworzy i modyfikuje szkice wiadomości e-mail w Microsoft 365 Outlook, korzystając z zakodowanych w próbce poświadczeń.
Szczególnie interesującym elementem śledztwa był dostęp badaczy do dużej liczby wiadomości z kanałów Slack i Discord używanych przez operatorów. Pozwoliło to odtworzyć nie tylko komendy wykonywane na hostach ofiar, ale także fragmenty procedur operacyjnych grupy, testowanie narzędzi i elementy zaplecza deweloperskiego.
Konsekwencje / ryzyko
Kampania GopherWhisper pokazuje, że nadużywanie zaufanych platform SaaS stało się dojrzałą techniką omijania tradycyjnych zabezpieczeń. Dla organizacji publicznych i dużych przedsiębiorstw oznacza to wzrost ryzyka długotrwałej, trudnej do wykrycia obecności przeciwnika w sieci.
Najpoważniejsze zagrożenia obejmują możliwość cichej eksfiltracji dokumentów, utrzymanie dostępu dzięki wielu implantom oraz ograniczoną skuteczność detekcji opartych wyłącznie na wskaźnikach reputacyjnych. Jeśli dodatkowo nie zostanie ustalony wektor początkowego dostępu, wzrasta ryzyko ponownej kompromitacji nawet po przeprowadzeniu działań naprawczych.
- utrata poufnych dokumentów i danych strategicznych,
- długotrwała obecność napastnika w sieci,
- trudności w identyfikacji ruchu C2 ukrytego w legalnych usługach,
- możliwość odbudowy infekcji dzięki wielu komponentom malware.
Rekomendacje
Organizacje powinny rozszerzyć możliwości detekcyjne o monitoring nietypowego wykorzystania legalnych usług chmurowych, zwłaszcza Slacka, Discorda, Microsoft 365 oraz serwisów transferu plików. Sam kontakt z tymi platformami nie musi oznaczać incydentu, ale podejrzane powinny być połączenia z procesów, hostów lub kont, które normalnie nie korzystają z takich usług.
- wdrożenie analizy behawioralnej procesów uruchamiających interpretery poleceń i wykonujących komendy dostarczane zdalnie,
- monitorowanie tworzenia i ładowania podejrzanych bibliotek DLL oraz oznak wstrzykiwania kodu do procesów systemowych,
- inspekcja połączeń wychodzących na poziomie hosta, szczególnie do platform społecznościowych i API pocztowych,
- reguły wykrywające masowe zbieranie dokumentów, tworzenie archiwów ZIP i szyfrowanie plików w krótkim czasie,
- audyt wykorzystania Microsoft Graph API oraz nietypowych operacji na szkicach wiadomości e-mail,
- segmentacja sieci i ograniczanie uprawnień aplikacji w celu utrudnienia ruchu bocznego i eksfiltracji.
Z perspektywy reagowania na incydenty kluczowe jest zabezpieczenie artefaktów pamięci, logów EDR, danych z proxy oraz telemetrii z usług chmurowych. Równie ważne pozostaje szybkie unieważnienie przejętych poświadczeń i przegląd tokenów API używanych przez aplikacje oraz użytkowników.
Podsumowanie
GopherWhisper to przykład nowoczesnej operacji APT, w której własne malware zostało połączone z nadużyciem popularnych usług internetowych w celu ukrycia komunikacji i kradzieży danych. Kampania podkreśla rosnące znaczenie detekcji behawioralnej, analizy telemetrii chmurowej oraz monitorowania nadużyć legalnych API.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: zaufana usługa sieciowa nie oznacza zaufanej aktywności. Współczesne operacje cyberwywiadowcze coraz częściej wykorzystują właśnie ten obszar jako skuteczny sposób omijania tradycyjnych mechanizmów obronnych.