GopherWhisper: nowa grupa APT powiązana z Chinami atakuje instytucje rządowe w Mongolii

Wprowadzenie do problemu / definicja

GopherWhisper to nowo opisana grupa APT prowadząca operacje cyberszpiegowskie wymierzone w instytucje rządowe w Mongolii. Kampania zwróciła uwagę analityków ze względu na wykorzystanie autorskiego zestawu narzędzi malware, z których znacząca część została napisana w języku Go, a także na nadużywanie legalnych usług chmurowych i komunikacyjnych do realizacji łączności C2 oraz eksfiltracji danych.

To przykład współczesnej operacji szpiegowskiej, w której atakujący starają się ukryć złośliwą aktywność w ruchu do powszechnie używanych platform, utrudniając wykrywanie i analizę incydentu.

W skrócie

• Badacze wykryli wcześniej nieudokumentowaną grupę APT nazwaną GopherWhisper.
• Celem kampanii były przede wszystkim instytucje rządowe w Mongolii.
• Operatorzy używali własnych narzędzi, m.in. LaxGopher, RatGopher, BoxOfFriends, JabGopher, CompactGopher, FriendDelivery oraz SSLORDoor.
• Do komunikacji C2 i transferu danych wykorzystywano legalne usługi, takie jak Slack, Discord, Microsoft 365 Outlook oraz file.io.
• Analiza wzorców operacyjnych sugeruje powiązanie grupy z chińskim ekosystemem zagrożeń.

Kontekst / historia

Aktywność GopherWhisper została wykryta w styczniu 2025 roku po zidentyfikowaniu nieznanego wcześniej backdoora LaxGopher w systemie należącym do mongolskiej instytucji rządowej. Dalsze śledztwo doprowadziło do odkrycia znacznie szerszego zestawu narzędzi, które nie wykazywały jednoznacznych podobieństw kodowych ani pełnej zgodności z technikami wcześniej znanych grup, co uzasadniło wyodrębnienie nowego klastra aktywności.

Istotnym momentem śledztwa było pozyskanie tokenów API wykorzystywanych przez operatorów w Slacku i Discordzie. Pozwoliło to badaczom przeanalizować znaczną liczbę komunikatów C2, odtworzyć sposób działania poszczególnych komponentów malware oraz częściowo zajrzeć w wewnętrzne procedury zespołu operatorskiego. Ustalono również, że część infrastruktury komunikacyjnej była najpierw używana do testów, a następnie została wdrożona operacyjnie bez usunięcia logów, co znacząco zwiększyło widoczność kampanii.

Analiza techniczna

Techniczny rdzeń kampanii stanowi modularny zestaw złośliwego oprogramowania, obejmujący loadery, injectory i backdoory odpowiedzialne za uruchamianie ładunków, wykonywanie poleceń, komunikację z operatorem oraz eksfiltrację danych.

JabGopher pełni funkcję injectora. Uruchamia nową instancję procesu svchost.exe, a następnie wstrzykuje do jej pamięci backdoor LaxGopher, maskowany jako whisper.dll. Taka technika utrudnia detekcję, ponieważ złośliwy kod działa w kontekście legalnego procesu systemowego.

LaxGopher to backdoor napisany w Go, który komunikuje się z prywatnym środowiskiem Slack. Odbiera polecenia, uruchamia je przez cmd.exe, odsyła wyniki na wskazany kanał i może pobierać dodatkowe komponenty. Jednym z nich jest CompactGopher, narzędzie służące do szybkiego zbierania, kompresowania i automatycznej eksfiltracji plików do zewnętrznej usługi współdzielenia danych.

RatGopher działa w podobny sposób, ale wykorzystuje Discord jako kanał C2. Z perspektywy atakujących takie podejście jest wygodne, ponieważ ruch przypomina zwykłą komunikację z popularną usługą internetową, a utrzymanie klasycznej infrastruktury serwerów sterujących staje się mniej istotne.

SSLORDoor to backdoor napisany w C++, komunikujący się przez surowe gniazda na porcie 443. Umożliwia enumerację dysków, wykonywanie poleceń oraz operacje na plikach, w tym odczyt, zapis, usuwanie i przesyłanie danych. W praktyce oznacza to możliwość ukrywania złośliwego ruchu w komunikacji, która na pierwszy rzut oka może przypominać legalne połączenia szyfrowane.

Kolejne komponenty, FriendDelivery i BoxOfFriends, pokazują dalszą ewolucję modelu operacyjnego grupy. FriendDelivery działa jako loader i injector, uruchamiający BoxOfFriends. Sam BoxOfFriends wykorzystuje API Microsoft Graph oraz mechanizm wersji roboczych wiadomości e-mail w Microsoft 365 Outlook do prowadzenia ukrytej komunikacji C2. To klasyczny przykład nadużycia zaufanych usług zamiast własnej, łatwo identyfikowalnej infrastruktury.

Szczególnie interesujące były ustalenia wynikające z analizy przejętych komunikatów. Dane ze Slacka i Discorda wskazywały, że większość aktywności operatorów przypadała na godziny robocze w strefie UTC+8. Badacze znaleźli również ślady testowego kodu źródłowego, informacje o środowiskach operatorskich i szczegóły dotyczące maszyn wirtualnych używanych podczas developmentu. W przypadku komunikacji przez Outlook pomocna okazała się nawet wiadomość powitalna z momentu utworzenia konta, która umożliwiła powiązanie harmonogramu tworzenia kont z rozwojem komponentów malware.

Konsekwencje / ryzyko

Kampania GopherWhisper pokazuje, że legalne usługi SaaS coraz częściej stają się nośnikiem komunikacji C2 i kanałem eksfiltracji danych. Dla organizacji publicznych i firm oznacza to, że tradycyjne podejście oparte wyłącznie na blokowaniu domen, adresów IP lub reputacji infrastruktury może być niewystarczające.

Najważniejsze ryzyka obejmują długotrwałe utrzymanie dostępu do środowiska, zdalne wykonywanie poleceń, selektywną kradzież dokumentów, nadużycie kont i usług chmurowych oraz ograniczoną widoczność ruchu ukrytego w popularnych platformach. Dodatkowym wyzwaniem jest wykorzystanie języka Go, który pozwala łatwo tworzyć wieloplatformowe i statycznie linkowane binaria, często trudniejsze do klasyfikacji przez tradycyjne mechanizmy bezpieczeństwa.

Nie można też pominąć wymiaru geopolitycznego. Ataki na instytucje rządowe wpisują się w profil operacji wywiadowczych nastawionych na pozyskiwanie informacji strategicznych, administracyjnych i politycznych. Nawet jeśli liczba potwierdzonych infekcji była ograniczona, analiza komunikacji C2 sugeruje, że rzeczywista skala kampanii mogła być większa.

Rekomendacje

Organizacje powinny rozszerzyć monitoring bezpieczeństwa o analizę anomalii w ruchu do legalnych usług chmurowych, zwłaszcza jeśli komunikacja obejmuje niestandardowe wzorce użycia Slacka, Discorda, Microsoft Graph lub usług wymiany plików. Połączenie z renomowaną platformą nie powinno być automatycznie uznawane za bezpieczne.

• wdrożenie inspekcji i profilowania ruchu wychodzącego do usług SaaS,
• detekcję nietypowego użycia procesów systemowych, takich jak svchost.exe,
• monitoring technik process injection i DLL side-loading,
• kontrolę uruchamiania binariów napisanych w Go oraz analizę ich zachowania,
• stosowanie polityk allow-listing dla narzędzi administracyjnych i skryptowych,
• dokładne logowanie operacji związanych z Microsoft 365 i Microsoft Graph,
• monitoring transferów plików do zewnętrznych usług współdzielenia danych,
• regularny threat hunting ukierunkowany na modularne backdoory, loadery i techniki ukrywania C2 w usługach zaufanych.

Zespoły SOC powinny również aktualizować reguły detekcyjne o wskaźniki kompromitacji oraz korelować telemetrykę z endpointów, sieci i chmury. W administracji publicznej szczególnie ważne jest łączenie danych EDR/XDR z monitoringiem poczty, usług tożsamościowych i aktywności w środowiskach Microsoft 365.

Podsumowanie

GopherWhisper to przykład dojrzałej operacji APT, która łączy własne, wielokomponentowe malware z nadużyciem powszechnie używanych usług internetowych. Kampania potwierdza, że współczesne zagrożenia cyberszpiegowskie coraz częściej odchodzą od klasycznej infrastruktury C2 na rzecz kanałów opartych na legalnych platformach, co znacząco utrudnia wykrywanie i analizę incydentów.

Dla obrońców oznacza to konieczność budowania głębszej widoczności telemetrycznej, lepszego rozumienia zachowania aplikacji oraz analizy kontekstowej ruchu do usług zaufanych. Bez tego nawet zaawansowane operacje wykorzystujące popularne platformy mogą przez długi czas pozostać niezauważone.

Źródła

1. ESET Research – GopherWhisper: A burrow full of malware – https://www.welivesecurity.com/en/eset-research/gopherwhisper-burrow-full-malware/
2. ESET Research White Paper – GopherWhisper: A burrow full of malware – https://web-assets.esetstatic.com/wls/en/papers/white-papers/gopherwhisper-burrow-full-malware.pdf
3. Security Affairs – GopherWhisper: new China-linked APT targets Mongolia with Go-based malware – https://securityaffairs.com/191318/apt/gopherwhisper-new-china-linked-apt-targets-mongolia-with-go-based-malware.html