详细内容或原文请订阅后点击阅览

GopherWhisper:充满恶意软件的洞穴

2026年4月23日 08:59 33 Comments
X Twitter Instagram Mail

ESET Research 发现了一个新的与中国结盟的 APT 组织,我们将其命名为 GopherWhisper,该组织的目标是蒙古政府机构

来源:WeLiveSecurity _恶意软件

GopherWhisper:充满恶意软件的洞穴

ESET Research 发现了一个新的与中国结盟的 APT 组织,我们将其命名为 GopherWhisper,该组织的目标是蒙古政府机构

2026 年 4 月 23 日•,6 分钟。阅读

ESET 研究人员发现了一个之前未记录的与中国结盟的 APT 组织,我们将其命名为 GopherWhisper。该组织使用各种主要用 Go 编写的工具,使用注入器和加载器来部署和执行其武器库中的各种后门。在观察到的活动中,威胁行为者针对的是蒙古的一个政府实体。

GopherWhisper 滥用合法服务,特别是 Discord、Slack、Microsoft 365 Outlook 和 file.io 进行命令和控制 (C&C) 通信和渗透。至关重要的是,在我们识别出多个 Slack 和 Discord API 令牌后,我们成功地从这些服务中提取了大量 C&C 消息,这使我们能够深入了解该组织的活动。

这篇博文总结了我们对 GopherWhisper 工具集和 C&C 流量的调查结果,这些结果可以在我们有关该主题的白皮书中找到。

博文要点:

  • ESET Research 发现了一个新的与中国结盟的 APT 组织,我们将其命名为 GopherWhisper,该组织的目标是蒙古的一个政府实体。
  • 该组织的工具集包括基于 Go 的定制后门 LaxGopher、RatGopher 和 BoxOfFriends、注入器 JabGopher、渗透工具 CompactGopher、加载器 FriendDelivery 和 C++ 后门 SSLORDoor。
  • GopherWhisper 利用 Discord、Slack、Microsoft 365 Outlook 和 file.io 进行 C&C 通信和渗透。
  • 我们分析了来自攻击者 Slack 和 Discord 渠道的 C&C 流量,获取有关该组织内部运营和入侵后活动的信息。

    • 后门众多

    我们最初发现的恶意软件包含以下内容:

  • JabGopher:一个执行伪装成whisper.dll的LaxGopher后门的注入器。它创建 svchost.exe 的新实例并将 LaxGopher 注入 svchost.exe 进程内存。

    • 结论

    GopherWhisper 主题的 结盟 APT 重要的 观察到的 有关 注入 组织的 服务 工具 实体 使用 记录的 ESET 软件包 Slack 活动的 研究人员 攻击者 博文 武器库 LaxGopher 蒙古 未记录的 活动 Discord 后门 调查结果 白皮书