I ricercatori di ESET hanno individuato un nuovo gruppo di cybercriminali, denominato GopherWhisper (quasi certamente di origine cinese), che utilizza diversi malware per colpire le vittime e noti servizi (Outlook, Discord e Slack) per le attività di comunicazione ed esfiltrazione dei dati. Al momento sembra che gli unici bersagli siano le istituzioni governative della Mongolia.
Descrizione dei malware usati da GopherWhisper
Il primo malware scoperto da ESET è LaxGopher, una backdoor scritta in linguaggio Go che interagisce con un server Slack privato, da quale riceve comandi e scarica altri payload. Dopo un’analisi approfondita sono stati individuati altri sei malware che fanno parte dell’arsenale usato durante gli attacchi.
JabGopher inietta la backdoor LaxGopher (mascherata da whisper.dll) nella memoria del processo svchost.exe. RatGopher è una backdoor scritta in Go che interagisce con un server Discord privato per recuperare i messaggi di comando e controllo (C&C). SSLORDoor è una backdoor scritta in C++ che utilizza OpenSSL BIO per la comunicazione tramite socket raw sulla porta 443 (può eseguire comandi su input C&C relativi all’apertura, alla lettura, alla scrittura, alla cancellazione e al caricamento di file).
BoxOfFriends è una backdoor scritta in Go che utilizza l’API REST di Microsoft 365 Outlook per creare e modificare bozze di email usate per le comunicazioni con i server C&C. FriendDelivery è una DLL infetta che funge da loader per la backdoor BoxOfFriends. Infine, CompactGopher è un tool scritto in Go che permette di comprimere i file e trasferirli automaticamente al servizio file.io.
Utilizzando le credenziali codificate direttamente nelle backdoor, i ricercatori sono stati in grado di accedere agli account del gruppo GopherWhisper su Slack, Discord e Microsoft Outlook e di individuare le comunicazioni con i server C2 (comandi, file caricati e attività sperimentali). La descrizione dettagliata può essere letta nel report PDF.
Ti potrebbe interessare
26 apr 2026