Las instituciones gubernamentales de Mongolia se han convertido en el objetivo de un grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) previamente indocumentado y alineado con China, al que se sigue como TuzaSusurro.
«El grupo maneja una amplia gama de herramientas escritas en su mayoría en Go, utilizando inyectores y cargadores para implementar y ejecutar varias puertas traseras en su arsenal», dijo la empresa eslovaca de ciberseguridad ESET. dicho en un informe compartido con The Hacker News. «GopherWhisper abusa de servicios legítimos, en particular Discord, Slack, Microsoft 365 Outlook y file.io para la comunicación y la exfiltración de comando y control (C&C).
El grupo fue descubierto por primera vez en enero de 2025 tras el descubrimiento de una puerta trasera nunca antes vista con nombre en código LaxGopher en un sistema perteneciente a una entidad gubernamental de Mongolia. También se descubren como parte del arsenal del actor de amenazas otras familias de malware, en su mayoría desarrolladas utilizando Golang para recibir instrucciones del servidor C&C, ejecutarlas y enviar los resultados.
El actor de amenazas también utiliza una herramienta de recopilación de archivos para recopilar archivos de interés y extraerlos en formato comprimido al archivo.[.]io para compartir archivos y una puerta trasera en C++ que ofrece control remoto sobre hosts comprometidos.
Los datos de telemetría de ESET muestran que alrededor de 12 sistemas asociados con la institución gubernamental de Mongolia fueron infectados por las puertas traseras, y el tráfico C&C de los servidores Discord y Slack controlados por el atacante indica docenas de otras víctimas.
Actualmente se desconoce exactamente cómo obtiene GopherWhisper el acceso inicial a las redes de destino. Pero a un punto de apoyo exitoso le siguen intentos de implementar una amplia gama de herramientas e implantes.
- JabGopherun inyector que ejecuta la puerta trasera LaxGopher («whisper.dll»).
- LaxGopheruna puerta trasera basada en Go que utiliza Slack para C2 para ejecutar comandos a través de «cmd.exe» y publicar los resultados en el canal de Slack, así como descargar malware adicional.
- Gopher compactouna utilidad de recopilación de archivos basada en Go lanzada por LaxGopher para filtrar archivos de interés por extensiones (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt y .pptx), comprimirlos en archivos ZIP, cifrar los archivos usando AES-CFB-128 y exfiltrarlos en un archivo.[.]yo.
- RataGopheruna puerta trasera basada en Go que utiliza un servidor privado de Discord para recibir mensajes de C&C, ejecutar comandos y publicar los resultados en el canal de Discord configurado, así como cargar y descargar archivos desde un archivo.[.]yo.
- SSLORPuertauna puerta trasera basada en C++ que utiliza OpenSSL BIO para la comunicación a través de sockets sin formato en el puerto 443 para enumerar unidades, realizar operaciones de archivos y ejecutar comandos basados en la entrada de C&C a través de «cmd.exe».
- AmigoEntregauna DLL maliciosa que sirve como cargador e inyector para BoxOfFriends.
- cajadeamigosuna puerta trasera basada en Go que utiliza la API de Microsoft Graph para crear borradores de correos electrónicos para C2 usando credenciales codificadas, con la primera cuenta de Outlook creada para este propósito («barrantaya.1010@outlook[.]com») creado el 11 de julio de 2024.
«La inspección de la marca de tiempo de los mensajes de Slack y Discord nos mostró que la mayor parte de ellos se enviaban durante el horario laboral, es decir, entre las 8 am y las 5 pm, lo que coincide con la hora estándar de China», dijo el investigador de ESET Eric Howard. «Además, la configuración regional para el usuario configurado en los metadatos de Slack también se configuró en esta zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China».
