Domenica 05 Luglio 2026 14:51:27 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Go, Whisper, Gone: Hacker legati alla Cina violano il governo mongolo con malware Go furtivo

Pubblicato: 23 Aprile 2026 13:09Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Un nuovo gruppo di cyber-spionaggio, “GopherWhisper”, si infiltra silenziosamente nei sistemi del governo mongolo usando backdoor innovative basate su Go e piattaforme cloud dirottate.

In una fredda mattina di gennaio 2025, le reti del governo mongolo si animarono di un’attività silenziosa-eppure non scattò alcun allarme. Dietro le quinte, un sofisticato gruppo di hacker allineato alla Cina era già dentro, a sottrarre discretamente file sensibili ed eseguire comandi sotto il naso dei funzionari. Il colpevole: un attore di minaccia finora sconosciuto soprannominato “GopherWhisper”, la cui arma preferita è una suite di malware personalizzati scritti nell’insolito linguaggio di programmazione Go.

Dentro l’underground di Go

I ricercatori di ESET si sono imbattuti per la prima volta in GopherWhisper all’inizio del 2025 dopo aver scoperto la backdoor “LaxGopher” su una macchina del governo mongolo. A differenza della maggior parte dei malware, tipicamente scritti in C o Python, il toolkit di GopherWhisper è quasi interamente costruito in Go-un linguaggio apprezzato per le sue capacità multipiattaforma e per la possibilità di eludere alcuni metodi di rilevamento tradizionali.

Le tattiche del gruppo sono tanto moderne quanto insidiose. Invece di allestire un’infrastruttura dedicata, GopherWhisper sfrutta servizi cloud legittimi come centro di comando. Canali Slack, server Discord e perfino le cartelle delle bozze di Microsoft Outlook diventano condotti occulti per comandi remoti e dati rubati. La loro famiglia di malware include:

  • LaxGopher: Una backdoor basata su Go che usa Slack per istruzioni ed esfiltrazione.
  • RatGopher: Comunica con Discord per eseguire comandi e gestire file.
  • CompactGopher: Filtra, comprime, cifra e carica documenti sensibili su siti di file-sharing.
  • SSLORDoor: Un impianto in C++ che usa socket cifrati per eseguire comandi remoti.
  • BoxOfFriends: Sfrutta la Microsoft Graph API per usare le bozze di Outlook come messaggistica clandestina.

Una volta dentro, questi impianti possono enumerare le unità, eseguire comandi Windows, raccogliere documenti e caricarli-spesso cifrati-su piattaforme come file.io. Gli attaccanti hanno persino ideato injector (come JabGopher e FriendDelivery) per caricare silenziosamente i loro payload.

L’analisi forense ha rivelato un indizio rivelatore: la maggior parte dell’attività degli hacker avveniva tra le 8:00 e le 17:00, ora standard cinese, e i metadati in Slack hanno confermato la località. Questo, unito alla natura avanzata degli strumenti, indica un’operazione di spionaggio ben finanziata e allineata alla Cina.

Il punto d’ingresso iniziale resta un mistero, ma l’ampiezza e la sofisticazione della campagna di GopherWhisper dovrebbero far scattare campanelli d’allarme per i governi di tutto il mondo.

Conclusione

La campagna di GopherWhisper è un monito netto su come il cyber-spionaggio moderno mescoli innovazione tecnica e tecnologia di uso quotidiano. Nascondendosi in piena vista-abusando di app cloud fidate e sfruttando un linguaggio di programmazione meno noto-questo gruppo ha alzato l’asticella per gli attacchi furtivi sostenuti da Stati. Mentre i governi si affannano a difendere i propri confini digitali, la domanda non è più se saranno presi di mira, ma se se ne accorgeranno prima che sia troppo tardi.

TECHCROOK

ESET Internet Security è una suite di protezione endpoint pensata per intercettare minacce moderne come backdoor, loader e attività di esfiltrazione dati, anche quando gli attaccanti cercano di “mimetizzarsi” usando servizi cloud legittimi. Include motore antimalware con rilevamento comportamentale, protezione anti-phishing e controllo delle connessioni di rete per individuare comunicazioni anomale verso canali esterni. Le funzioni di monitoraggio dei processi e blocco delle modifiche sospette aiutano a contrastare tecniche di persistenza e iniezione di codice tipiche dei toolkit descritti nell’articolo. È adatto a PC Windows e offre gestione semplice, con aggiornamenti automatici delle firme e dei modelli di rilevamento. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Loader/Injector: Un loader/injector è un malware che carica o inserisce codice malevolo aggiuntivo nella memoria di un sistema, abilitando ulteriori attacchi ed elusione.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete della vittima a un sistema esterno controllato dagli attaccanti.
  • Golang (Go): Golang (Go) è un linguaggio di programmazione portabile ed efficiente, ampiamente usato per software moderni e sempre più favorito dagli autori di malware per attacchi multipiattaforma.