Een recent ontdekte APT-groep, genaamd GopherWhisper, maakt gebruik van legitieme diensten voor command-and-control (C&C) communicatie en datadiefstal, waarschuwt beveiligingsbedrijf ESET. De groep is sinds november 2023 actief en opereert vanuit China, wat is vastgesteld aan de hand van tijdstempels in chatberichten en e-mails. GopherWhisper kwam in januari 2025 aan het licht tijdens een onderzoek naar een Go-gebaseerde backdoor op systemen van een Mongoolse overheidsinstantie.

Deze backdoor, LaxGopher genoemd, gebruikt Slack voor C&C-communicatie en kan opdrachten uitvoeren via de opdrachtprompt, data exfiltreren en extra payloads downloaden en uitvoeren op geïnfecteerde systemen. Volgens ESET werd LaxGopher vooral ingezet om schijven en bestanden te inventariseren. Een injector met de naam JabGopher voert de backdoor uit in het geheugen van een nieuw opgestarte svchost.exe-process. Een van de tools die LaxGopher kan inzetten is CompactGopher, een bestandverzamelaar geschreven in Go die bestanden kan comprimeren en via de publieke REST API van de file-sharing dienst file.io kan versturen.

Daarnaast gebruikt GopherWhisper een andere Go-gebaseerde backdoor, RatGopher, die Discord inzet voor C&C-communicatie. Deze backdoor kan nieuwe opdrachtprompt-instanties openen en bestanden uploaden of downloaden via file.io. Verder maakt de APT gebruik van een C++ backdoor, SSLORDoor, die OpenSSL BIO gebruikt voor communicatie via raw TCP-sockets. Deze malware kan een verborgen opdrachtprompt starten, schijven inventariseren, bestandsgerelateerde opdrachten uitvoeren en nieuwe socketverbindingen opzetten.

Het onderzoek van ESET onthulde ook twee extra tools die tegen dezelfde Mongoolse overheidsorganisatie werden ingezet: de BoxOfFriends backdoor, die via de Microsoft Graph API communiceert via conceptberichten in Outlook, en de FriendDelivery DLL injector die deze backdoor laadt. BoxOfFriends kan bestanden exfiltreren, poorten manipuleren en opdrachten uitvoeren via een shell op het host-systeem.

De China-geassocieerde APT wist ongeveer twaalf systemen binnen de Mongoolse overheidsinstantie te infecteren. ESET vermoedt dat tientallen andere slachtoffers eveneens doelwit waren. Omdat er geen overeenkomsten zijn met bestaande APT-groepen op het gebied van code, tactieken, technieken en procedures (TTP’s) en doelwitten, heeft ESET GopherWhisper als een nieuwe groep aangemerkt en het beschreven arsenaal aan tools aan deze groep toegeschreven. Meer details zijn te vinden in het uitgebreide onderzoekspaper van ESET over GopherWhisper.