GopherWhisper: grupo de ciberespionagem alinhado com a China detetado pela ESET

Investigadores da ESET descobriram um novo grupo de ciberespionagem alinhado com a China, até agora não documentado, a que atribuíram o nome GopherWhisper.

GopherWhisper: usados serviços como o Discord, o Slack, o Microsoft 365 Outlook e o file.io

O grupo utiliza uma vasta gama de ferramentas, na sua maioria desenvolvidas em linguagem de programação Go, que recorrem a injetores e carregadores para implementar e executar vários backdoors do seu arsenal. Na campanha observada, os agentes da ameaça visaram uma instituição governamental na Mongólia. Fazem uso de serviços legítimos, nomeadamente o Discord, o Slack, o Microsoft 365 Outlook e o file.io, para comunicação de comando e controlo (C&C) e exfiltração de dados.

A ESET descobriu este grupo em janeiro de 2025, quando identificou um backdoor até então desconhecido, denominado LaxGopher, no sistema de uma instituição governamental na Mongólia. Ao aprofundar a investigação, conseguiram descobrir várias ferramentas maliciosas adicionais, sobretudo novos backdoors, todos implementados pelo mesmo grupo. A maioria destas ferramentas foi desenvolvida em linguagem de programação Go e o seu objetivo comum era a ciberespionagem.

De acordo com a telemetria da ESET, a vítima afetada pelos backdoors do GopherWhisper é uma instituição governamental da Mongólia. Através da análise do tráfego de C&C dos servidores Discord e Slack operados pelo grupo, a ESET estima que dezenas de outras vítimas, para além da instituição mongol, também possam ter sido afetadas, embora não tenha informação sobre a sua localização geográfica ou setores de atividade.

Das sete ferramentas identificadas, quatro são backdoors - LaxGopher, RatGopher e BoxOfFriends, escritos em Go, e SSLORDoor, desenvolvido em C++. Adicionalmente, a ESET encontrou um injetor (JabGopher), uma ferramenta de exfiltração baseada em Go (CompactGopher) e um ficheiro DLL malicioso (FriendDelivery).

Como o conjunto de malware descoberto pela ESET não apresentava semelhanças de código com ferramentas associadas a nenhum ator de ameaça conhecido, nem existia sobreposição nas Táticas, Técnicas e Procedimentos (TTPs) utilizados por outros grupos, a ESET decidiu atribuir estas ferramentas a um novo grupo. Os investigadores optaram por nomear esse grupo GopherWhisper devido ao facto de a maioria das ferramentas terem sido escritas na linguagem de programação Go, cujo mascote é um gopher, e também com base no ficheiro whisper.dll, carregado através de side-loading de DLL.

O GopherWhisper caracteriza-se pelo uso extensivo de serviços legítimos, como o Slack, o Discord e o Outlook, para comunicação C&C. «Durante a nossa investigação, conseguimos extrair milhares de mensagens do Slack e do Discord, bem como várias mensagens de correio eletrónico em rascunho do Microsoft Outlook. Isto deu-nos uma visão aprofundada sobre o funcionamento interno do grupo», afirma o investigador da ESET Eric Howard, que descobriu o novo grupo de ameaças.

A análise dos registos de data e hora das mensagens do Slack e do Discord revelou-nos que a maior parte delas era enviada durante o horário de trabalho, ou seja, entre as 8h00 e as 17h00, o que corresponde à hora padrão da China. Além disso, a localização do utilizador configurado nos metadados do Slack também estava definida para este fuso horário. Por conseguinte, acreditamos que o GopherWhisper é um grupo alinhado com a China

explica Howard.

Com base nesta investigação da ESET, os servidores Slack e Discord do grupo foram inicialmente utilizados para testar a funcionalidade dos backdoors e, posteriormente, sem limpar os registos, também utilizados como servidores C&C para os backdoors LaxGopher e RatGopher em múltiplas máquinas comprometidas. Para além das comunicações no Slack e no Discord, os investigadores da ESET conseguiram ainda extrair mensagens de e-mail utilizadas na comunicação entre o backdoor BoxOfFriends e a sua infraestrutura C&C, utilizando a API do Microsoft Graph.