Группа хакеров, получившая название GopherWhisper, атакует государственные учреждения Монголии как минимум с ноября 2023 года. Компания ESET из Словакии зафиксировала заражение 12 правительственных систем, хотя реальный масштаб может быть значительно шире: трафик на подконтрольных злоумышленникам серверах Discord и Slack указывает на «десятки других жертв».
Атрибуция группы строится не на догадках, а на конкретных технических деталях. Метаданные временных меток в Slack и Discord показывают, что операторы работают строго с 8:00 до 17:00 по китайскому стандартному времени. Дополнительным аргументом служат настройки локали Slack-аккаунтов, используемых группой. Именно это позволило исследователям ESET отнести GopherWhisper к китайскому кластеру угроз. Ведущий аналитик Эрик Ховард опубликовал разбор кампании, который впоследствии распространило издание The Hacker News.
Начальный вектор проникновения в системы пока не установлен. Зато хорошо задокументировано то, что происходит после: злоумышленники разворачивают инжекторы и загрузчики в форме вредоносных DLL, которые тянут за собой целый набор бэкдоров. Большинство инструментов написано на Go, один — на C++. Такое разнообразие языков говорит о том, что разные части арсенала, по всей видимости, разрабатывались независимо.
Что действительно отличает GopherWhisper от многих других групп — это принципиальный отказ от собственной инфраструктуры для управления заражёнными машинами. Вместо этого они паразитируют на легитимных платформах: Slack, Discord, Microsoft 365 Outlook и файлообменном сервисе . Сетевой трафик к этим сервисам выглядит совершенно обычно, что серьёзно затрудняет его выявление с помощью стандартных инструментов мониторинга.
Первый инструмент в цепочке заражения — LaxGopher, бэкдор на Go. Он использует Slack для получения команд, выполняет их через cmd.exe, отправляет результаты обратно в Slack-канал и при необходимости скачивает дополнительное вредоносное ПО. Сам по себе LaxGopher — это точка входа и оркестратор для следующего этапа.
Следом LaxGopher сбрасывает CompactGopher — утилиту для сбора файлов, тоже написанную на Go. Она ищет девять конкретных расширений:.doc,.docx,.jpg,.xls,.xlsx,. Шеф.pdf,.ppt и.pptx. Найденные файлы упаковываются в ZIP-архив, шифруются по алгоритму AES-CFB-128 и уходят на . Выбор расширений говорит о конкретном интересе: документы, таблицы, презентации и изображения — типичное содержимое рабочих компьютеров государственных служащих.
RatGopher работает по схожей логике, но использует закрытый сервер Discord. Через него группа получает команды, туда же отправляет результаты их выполнения, а для загрузки и скачивания файлов снова задействует . По сути, это параллельный канал управления, который продолжает функционировать даже если Slack-инфраструктура окажется под угрозой обнаружения.
SSLOrDoor выбивается из ряда Go-инструментов: он написан на C++ и работает иначе. Бэкдор использует библиотеку OpenSSL BIO для связи через сырые сокеты на 443-м порту — том самом, что зарезервирован для HTTPS. Он умеет перечислять диски, выполнять файловые операции и запускать произвольные команды через cmd.exe. Использование стандартного HTTPS-порта — попытка раствориться в обычном веб-трафике.
Пара FriendDelivery и BoxOfFriends образует отдельный блок атаки. FriendDelivery — вредоносная DLL, задача которой сводится к одному: загрузить и внедрить BoxOfFriends. Сам BoxOfFriends написан на Go и использует Microsoft Graph API для коммуникации. Схема нетривиальная: бэкдор формирует черновики писем через захардкоженные учётные данные аккаунта Outlook. Черновики никуда не отправляются — они просто читаются оператором с другого устройства. Такой способ общения через черновики практически невидим для систем, которые анализируют отправленную почту. Старейший из выявленных Outlook-аккаунтов, задействованных в этой схеме, был создан 11 июля 2024 года.
Общий портрет GopherWhisper — это хорошо структурированная группа с модульным арсеналом, где каждый инструмент решает конкретную задачу. Один бэкдор получает команды, другой собирает файлы, третий обеспечивает резервный канал связи. При этом вся команда, судя по всему, соблюдает рабочий распорядок и не работает по ночам и в выходные. Это не автоматизированные атаки, а целенаправленная шпионская операция с живыми операторами за клавиатурой.
Изображение носит иллюстративный характер
Атрибуция группы строится не на догадках, а на конкретных технических деталях. Метаданные временных меток в Slack и Discord показывают, что операторы работают строго с 8:00 до 17:00 по китайскому стандартному времени. Дополнительным аргументом служат настройки локали Slack-аккаунтов, используемых группой. Именно это позволило исследователям ESET отнести GopherWhisper к китайскому кластеру угроз. Ведущий аналитик Эрик Ховард опубликовал разбор кампании, который впоследствии распространило издание The Hacker News.
Начальный вектор проникновения в системы пока не установлен. Зато хорошо задокументировано то, что происходит после: злоумышленники разворачивают инжекторы и загрузчики в форме вредоносных DLL, которые тянут за собой целый набор бэкдоров. Большинство инструментов написано на Go, один — на C++. Такое разнообразие языков говорит о том, что разные части арсенала, по всей видимости, разрабатывались независимо.
Что действительно отличает GopherWhisper от многих других групп — это принципиальный отказ от собственной инфраструктуры для управления заражёнными машинами. Вместо этого они паразитируют на легитимных платформах: Slack, Discord, Microsoft 365 Outlook и файлообменном сервисе . Сетевой трафик к этим сервисам выглядит совершенно обычно, что серьёзно затрудняет его выявление с помощью стандартных инструментов мониторинга.
Первый инструмент в цепочке заражения — LaxGopher, бэкдор на Go. Он использует Slack для получения команд, выполняет их через cmd.exe, отправляет результаты обратно в Slack-канал и при необходимости скачивает дополнительное вредоносное ПО. Сам по себе LaxGopher — это точка входа и оркестратор для следующего этапа.
Следом LaxGopher сбрасывает CompactGopher — утилиту для сбора файлов, тоже написанную на Go. Она ищет девять конкретных расширений:.doc,.docx,.jpg,.xls,.xlsx,. Шеф.pdf,.ppt и.pptx. Найденные файлы упаковываются в ZIP-архив, шифруются по алгоритму AES-CFB-128 и уходят на . Выбор расширений говорит о конкретном интересе: документы, таблицы, презентации и изображения — типичное содержимое рабочих компьютеров государственных служащих.
RatGopher работает по схожей логике, но использует закрытый сервер Discord. Через него группа получает команды, туда же отправляет результаты их выполнения, а для загрузки и скачивания файлов снова задействует . По сути, это параллельный канал управления, который продолжает функционировать даже если Slack-инфраструктура окажется под угрозой обнаружения.
SSLOrDoor выбивается из ряда Go-инструментов: он написан на C++ и работает иначе. Бэкдор использует библиотеку OpenSSL BIO для связи через сырые сокеты на 443-м порту — том самом, что зарезервирован для HTTPS. Он умеет перечислять диски, выполнять файловые операции и запускать произвольные команды через cmd.exe. Использование стандартного HTTPS-порта — попытка раствориться в обычном веб-трафике.
Пара FriendDelivery и BoxOfFriends образует отдельный блок атаки. FriendDelivery — вредоносная DLL, задача которой сводится к одному: загрузить и внедрить BoxOfFriends. Сам BoxOfFriends написан на Go и использует Microsoft Graph API для коммуникации. Схема нетривиальная: бэкдор формирует черновики писем через захардкоженные учётные данные аккаунта Outlook. Черновики никуда не отправляются — они просто читаются оператором с другого устройства. Такой способ общения через черновики практически невидим для систем, которые анализируют отправленную почту. Старейший из выявленных Outlook-аккаунтов, задействованных в этой схеме, был создан 11 июля 2024 года.
Общий портрет GopherWhisper — это хорошо структурированная группа с модульным арсеналом, где каждый инструмент решает конкретную задачу. Один бэкдор получает команды, другой собирает файлы, третий обеспечивает резервный канал связи. При этом вся команда, судя по всему, соблюдает рабочий распорядок и не работает по ночам и в выходные. Это не автоматизированные атаки, а целенаправленная шпионская операция с живыми операторами за клавиатурой.
