Een geavanceerde, China-georiënteerde bedreigingsgroep, bekend als GopherWhisper, heeft 12 systemen binnen Mongoolse overheidsinstellingen geïnfecteerd met backdoors geschreven in de programmeertaal Go. Dit blijkt uit een rapport van het Slowaakse cybersecuritybedrijf ESET. De groep maakt gebruik van injectoren en loaders om verschillende backdoors te installeren en te activeren, en misbruikt daarvoor legitieme communicatieplatformen zoals Discord, Slack, Microsoft 365 Outlook en file.io voor command-and-control (C&C) en datadiefstal.

GopherWhisper werd voor het eerst ontdekt in januari 2025, na het aantreffen van een nieuwe backdoor met de codenaam LaxGopher op een systeem van een Mongoolse overheidsinstantie. Naast LaxGopher omvat het arsenaal van de groep meerdere malwarefamilies, voornamelijk ontwikkeld in Golang, die instructies van C&C-servers ontvangen, uitvoeren en de resultaten terugsturen. Ook gebruikt de groep een tool om bestanden te verzamelen en gecomprimeerd en versleuteld via file.io te exfiltreren. Daarnaast is er een C++-backdoor die volledige remote control over geïnfecteerde systemen mogelijk maakt.

Telemetrygegevens van ESET tonen aan dat ongeveer 12 systemen binnen de Mongoolse overheid geïnfecteerd zijn met deze backdoors, terwijl C&C-verkeer via door de aanvallers beheerde Discord- en Slack-servers wijst op tientallen andere slachtoffers. Hoe GopherWhisper precies toegang krijgt tot de netwerken is nog onbekend. Na het verkrijgen van een voet tussen de deur probeert de groep diverse tools te installeren, waaronder JabGopher, een injector die de LaxGopher-backdoor activeert. LaxGopher gebruikt Slack voor C&C-communicatie, voert opdrachten uit via cmd.exe en downloadt aanvullende malware.

Andere gebruikte tools zijn CompactGopher, een bestandverzamelaar die specifieke bestandstypen filtert, comprimeert, versleutelt met AES-CFB-128 en exfiltreert naar file.io, en RatGopher, een backdoor die via een privé Discord-server opdrachten ontvangt en bestanden uitwisselt. SSLORDoor is een C++-backdoor die via OpenSSL BIO op poort 443 communiceert en bestands- en commando-operaties uitvoert. Verder is er FriendDelivery, een kwaadaardige DLL die dient als loader en injector voor BoxOfFriends, een Go-backdoor die via de Microsoft Graph API concept-e-mails opstelt voor C&C met hardcoded credentials. Het eerste Outlook-account voor deze operatie werd in juli 2024 aangemaakt.

Volgens ESET-onderzoeker Eric Howard wijzen tijdstempels van Slack- en Discord-berichten erop dat de meeste communicatie plaatsvond tijdens kantooruren in de China Standard Time-zone, wat de link met China ondersteunt. Ook de ingestelde tijdzone in Slack bevestigt dit. Deze bevindingen onderstrepen dat GopherWhisper een China-georiënteerde APT-groep betreft.