GopherWhisper: l’APT nell’ombra che dirotta la tua posta in arrivo e le app di chat
Sottotitolo: Hacker collegati alla Cina sfruttano Outlook, Slack e Discord in attacchi furtivi contro i governi, inaugurando una nuova era di cyber-spionaggio che si nasconde in piena vista.
È iniziato come un giorno qualunque nel reparto IT del governo mongolo-finché la routine non è diventata sospetta. Piattaforme di comunicazione apparentemente innocue, come Outlook, Slack e Discord, stavano nascondendo una sofisticata minaccia informatica sostenuta da uno Stato. In agguato dietro il velo degli strumenti di tutti i giorni, un gruppo appena scoperto soprannominato “GopherWhisper” stava silenziosamente sottraendo dati e impartendo comandi, senza essere rilevato dalle difese tradizionali.
Fatti rapidi
- GopherWhisper è un gruppo APT identificato di recente e collegato alla Cina, attivo per la prima volta nel 2023.
- Il gruppo abusa di servizi legittimi-Microsoft Outlook, Slack e Discord-per operazioni di comando e controllo (C2) occulte.
- Decine di vittime, incluse entità del governo mongolo, sono state compromesse con malware personalizzato basato su Go.
- I ricercatori hanno avuto accesso ai canali C2 degli attaccanti, analizzando oltre 9.000 messaggi e collegando l’attività agli orari lavorativi cinesi.
- Il toolkit include più backdoor e strumenti di esfiltrazione dati che sfruttano cloud pubblici e servizi di chat.
Dentro l’operazione GopherWhisper
A differenza della maggior parte dei gruppi di cyber-spionaggio, GopherWhisper non si affida a protocolli oscuri o proprietari. Invece, arma proprio le piattaforme che dipendenti di governi e aziende usano ogni giorno-trasformando strumenti fidati in canali di comunicazione clandestini. Secondo l’indagine di ESET, gli attacchi di GopherWhisper sono orchestrati tramite una suite di malware personalizzati, scritti prevalentemente nel linguaggio di programmazione Go.
L’arsenale del gruppo include:
- LaxGopher: Una backdoor basata su Go che recupera comandi da un server Slack privato, eseguendoli sulle macchine infette.
- RatGopher: Usa canali privati di Discord per ricevere comandi e pubblicare i risultati.
- BoxOfFriends: Dirotta Microsoft 365 Outlook manipolando bozze di email per istruzioni e risposte segrete.
- CompactGopher: Comprime i file rubati per l’esfiltrazione tramite il servizio di condivisione file file.io.
Malware come SSLORDoor e injector specializzati estendono ulteriormente la portata del gruppo, consentendo persistenza furtiva e movimento laterale all’interno delle reti.
Ciò che distingue GopherWhisper è l’uso abile di credenziali hardcoded per infiltrarsi e prendere il controllo di piattaforme cloud ampiamente fidate, mescolando il traffico malevolo con la normale attività aziendale. I ricercatori di ESET sono riusciti ad accedere a questi canali C2, scoprendo oltre 6.000 messaggi su Slack e 3.000 su Discord-prove di un’operazione metodica che rispecchia una tipica giornata lavorativa cinese. L’analisi del fuso orario e i metadati dei server hanno rafforzato il collegamento con la Cina, con picchi di attività durante l’orario d’ufficio UTC+8.
Sebbene le infezioni confermate includano almeno 12 sistemi del governo mongolo, la reale portata resta poco chiara: sono state identificate “decine di altre vittime”, ma identità e settori sono ancora sconosciuti, facendo scattare l’allarme per i difensori di governi e imprese in tutto il mondo.
Conclusione
La campagna GopherWhisper è un monito severo: i confini tra tecnologia fidata e cyber-spionaggio sono sempre più sfumati. Man mano che gli avversari sfruttano strumenti legittimi di cloud e collaborazione, i difensori devono ripensare le strategie di rilevamento-perché la prossima violazione potrebbe nascondersi nella tua posta in arrivo o nella finestra di chat.
TECHCROOK
ESET PROTECT Complete è una suite di sicurezza endpoint pensata per organizzazioni che devono rilevare minacce furtive come APT e backdoor che abusano di servizi legittimi (posta e piattaforme di collaborazione). Integra protezione multilivello con motore antimalware, analisi comportamentale, EDR per investigazione e risposta, controllo delle applicazioni e gestione centralizzata via console. È utile quando il traffico malevolo si “mimetizza” in canali comuni (es. client email e chat), perché correla eventi su host e rete, evidenzia persistenza e movimento laterale e supporta la caccia proattiva alle minacce. Adatto a enti pubblici e aziende con molti endpoint Windows/macOS. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da uno Stato, con l’obiettivo di rubare dati o interrompere le operazioni.
- Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- Go (Golang): Go (Golang) è un moderno linguaggio di programmazione noto per l’efficienza ed è sempre più usato dai cybercriminali per creare malware difficili da rilevare.
- Exfiltration: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.




