ESET: GopherWhisper, nieuwe aan China gelinkte groep, spioneert via berichtendiensten als Discord, Slack en Outlook
ESET heeft een nog onbekende, aan China gelinkte APT-groep ontdekt die het GopherWhisper heeft genoemd. De groep beschikt over talloze tools, vooral in Go geschreven, die injectoren en loaders gebruiken om verschillende backdoors in hun arsenaal te implementeren en uit te voeren. In de waargenomen campagne richtten de aanvallers zich op een overheidsinstelling in Mongolië. GopherWhisper misbruikt legitieme diensten, zoals Discord, Slack, Microsoft 365 Outlook en file.io, voor C&C en data-exfiltratie.
ESET ontdekte de groep in januari 2025, toen het een nog ongekende backdoor vond, die zijn onderzoekers LaxGopher noemden, in het systeem van een overheidsinstelling in Mongolië. Nadien ontdekten ze nog andere kwaadaardige tools, voornamelijk verschillende extra backdoors, die allemaal door dezelfde groep ingezet waren. De meeste van deze tools waren geschreven in Go en hun doel was cyberspionage.
Volgens de ESET-telemetrie is het slachtoffer van de GopherWhisper-backdoors een Mongoolse overheidsinstelling. Door de analyse van het C&C-verkeer van de door de aanvallers beheerde Discord- en Slack-servers, schat ESET dat naast de Mongoolse instelling ook tientallen andere slachtoffers waren, hoewel er geen informatie is over hun geografische locatie of sector.
Van de zeven ontdekte tools zijn er vier backdoors: LaxGopher, RatGopher en BoxOfFriends, geschreven in Go, en SSLORDoor, geschreven in C++. ESET vond ook een injector (JabGopher), een op Go gebaseerde exfiltratietool (CompactGopher) en een kwaadaardig DLL-bestand (FriendDelivery).
Omdat de gevonden malware geen codeovereenkomsten vertoonde met tools van bekende cybercriminelen, en er geen overlap was in de tactieken, technieken en procedures (TTP’s) die door andere groepen gebruikt werden, besloot ESET de tools toe te schrijven aan een nieuwe groep. Onderzoekers noemden die groep GopherWhisper, omdat de meeste tools van de groep geschreven zijn in de programmeertaal Go, die een gopher als mascotte heeft, en gebaseerd zijn op de bestandsnaam van whisper.dll, dat via sideloading wordt geïnstalleerd.
GopherWhisper heeft als kenmerk het veelvuldige gebruik van legitieme diensten zoals Slack, Discord en Outlook voor C&C-communicatie. “Tijdens ons onderzoek konden we duizenden Slack- en Discord-berichten bemachtigen, alsook verschillende concept-e-mailberichten uit Microsoft Outlook. Dit gaf ons een goed inzicht in de interne werking van de groep”, aldus Eric Howard, de ESET-onderzoeker die de nieuwe dreigingsgroep ontdekte.
“Uit een analyse van de tijdstempels in de Slack- en Discord-berichten bleek dat het merendeel tussen 8.00 en 17.00 uur werd verzonden, deze werktijd komt overeen met de Chinese standaardtijd. Bovendien was de landinstelling voor de geconfigureerde gebruiker in de Slack-metadata ook ingesteld op deze tijdzone. We zijn dus overtuigd dat de groep aan China gelinkt is”, zegt Howard.
Op basis van dit ESET-onderzoek werden de Slack- en Discord-servers van de groep eerst gebruikt om de functionaliteit van de backdoors te testen, en dan, zonder de logbestanden te wissen, ook als C&C-servers voor de LaxGopher- en RatGopher-backdoors op meerdere gecompromitteerde toestellen. Naast de communicatie via Slack en Discord exfiltreerden de ESET-onderzoekers ook e-mailberichten gebruikt voor de communicatie tussen de BoxOfFriends-backdoor en de bijbehorende C&C-server met behulp van de Microsoft Graph API.
Eric Howard, van ESET Research, presenteerde deze bevindingen op de Botconf 2026-conferentie.
Voor een meer gedetailleerde analyse van de nieuwe GopherWhisper-dreigingsgroep en zijn toolbox, bekijk de nieuwste blog en witboek van ESET Research: “GopherWhisper: A burrow full of malware” op www.WeLiveSecurity.com. Volg ESET Research ook op Twitter (nu X), BlueSky en Mastodon voor de nieuwste informatie.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
