Il gruppo APT GopherWhisper usa Slack, Discord, Outlook e file.io come canali per spiare enti pubblici in Asia orientale, sfruttando backdoor su misura e un toolkit sviluppato ad hoc.
Autore: Redazione SecurityOpenLab
Si chiama GopherWhisper il nuovo gruppo APT allineato alla Cina scoperto dai ricercatori di ESET. Conduce operazioni di cyber spionaggio contro enti pubblici in oriente. La sua peculiarità più evidente è l’uso di servizi legittimi come Slack, Discord, Microsoft 365 Outlook e la piattaforma di file sharing file.io come canali di comando e controllo per eludere la detection.
Secondo la ricerca di ESET, il gruppo non mostra sovrapposizioni di codice o Tecniche, Tattiche e Procedure con gruppi noti, per questo è stato identificato come una nuova minaccia. Gli analisti hanno ricostruito le operazioni ottenendo l’accesso a migliaia di messaggi scambiati all’interno dei server Slack e Discord controllati dagli attaccanti, oltre a bozze di email Outlook usate come canale C2.
L’indagine è iniziata a gennaio 2025, quando ESET ha individuato una backdoor mai documentata battezzata LaxGopher, installata su sistemi Windows e attiva in una rete istituzionale. In questo caso la backdoor è stata osservata direttamente in produzione e l’analisi ha rivelato fin da subito che LaxGopher è un componente di un toolkit più esteso che ha come obiettivo lo spionaggio e l’esfiltrazione selettiva di dati sensibili.
Partendo da qui i ricercatori hanno ricostruito progressivamente l’arsenale di strumenti e canali di comando e controllo di questa minaccia. La telemetria e l’analisi dei server utilizzati dal gruppo permettono di collegare alla stessa operazione altre backdoor note come RatGopher e BoxOfFriends, un injector e un loader specifici, un tool di esfiltrazione dati e una backdoor aggiuntiva chiamata SSLORDoor. Gli elementi raccolti concorrono anche a far dedurre che il gruppo abbia mietuto decine di vittime, sebbene non sia sempre possibile attribuire con precisione settore e Paese di appartenenza.
Il nucleo della kill chain ruota attorno a un set di sette tool principali, che coprono le fasi di inizializzazione della compromissione, installazione delle backdoor, persistenza, comando remoto ed esfiltrazione. Quattro di questi strumenti sono vere e proprie backdoor, cioè programmi che permettono agli attaccanti di controllare da remoto i computer infetti. Per farle funzionare al meglio, GopherWhisper usa anche tre componenti di supporto: JabGopher, che si occupa di avviare il codice malevolo; CompactGopher, che raccoglie i file interessanti e li prepara per il furto; e FriendDelivery, un modulo che installa la backdoor BoxOfFriends come servizio di Windows, così da farla riattivare automaticamente a ogni riavvio del sistema.
LaxGopher incarna il modo in cui GopherWhisper sfrutta Slack come canale C2. La backdoor contatta un workspace Slack controllato dagli attaccanti, estrae i comandi da un canale privato e pubblica nello stesso spazio i risultati delle operazioni eseguite sulla macchina compromessa, come l’enumerazione del file system, listati di processi o output di comandi shell. Questo design consente agli operatori di lavorare dentro un contesto apparentemente legittimo,in cui il traffico HTTPS verso slack.com è difficilmente distinguibile da quello generato da quello legittimo, soprattutto in ambienti in cui è diffuso l’uso di applicazioni di collaboration.
RatGopher replica lo stesso paradigma utilizzando Discord come infrastruttura di comando e controllo. La backdoor decodifica un token e gli identificativi di canale, si connette a un server Discord sotto il controllo di GopherWhisper e riceve istruzioni attraverso i messaggi di un canale privato, restituendo agli operatori l’output delle azioni svolte sui sistemi infetti. Dall’analisi del canale Discord, ESET ricava non solo la cronologia delle operazioni ma anche frammenti di codice sorgente della backdoor e output generato su macchine di test degli stessi attaccanti. Questo ha contribuito a ricostruire la fase di sviluppo del toolkit.
BoxOfFriends introduce un ulteriore livello di mimetizzazione perché sfrutta Microsoft 365 Outlook come canale di comando e controllo tramite l’API Microsoft Graph. Invece di appoggiarsi a messaggi inviati e ricevuti, la backdoor usa le bozze di email per scambiare comandi e risultati con gli operatori: l’host compromesso crea o aggiorna bozze in una casella controllata da GopherWhisper, mentre il backend degli attaccanti interroga le stesse bozze per recuperare l’output o per impartire nuove istruzioni. Dal punto di vista della difesa, questo approccio sposta il traffico sospetto dentro un modello che assomiglia a operazioni legittime di Outlook e del relativo servizio cloud, rendendo più complesso individuare anomalie senza un’analisi molto granulare.
SSLORDoor dialoga direttamente su socket, appoggiandosi a OpenSSL per gestire la comunicazione cifrata su porta 443. A differenza delle altre tre backdoor, che si appoggiano a servizi SaaS, SSLORDoor comunica con infrastrutture controllate direttamente dagli operatori, mantenendo però il traffico su HTTPS per confondersi con flussi web normali. Le funzionalità includono esecuzione di comandi, operazioni sui file (lettura, scrittura, cancellazione, upload), enumerazione dei drive e la possibilità di attivare proxy socket, elementi che rendono questa componente adatta a fasi di controllo più avanzate o a scenari in cui si preferisce una gestione meno dipendente da piattaforme terze.
A monte dell’esecuzione delle backdoor agiscono gli elementi di supporto, a partire da JabGopher, responsabile di caricare in memoria i payload e di inserirli nei processi designati. L’uso di un injector dedicato consente agli attaccanti di separare la logica di esecuzione dal codice delle backdoor, riducendo tracce statiche e aumentando la modularità dell’operazione, ad esempio aggiornando l’injector senza toccare il codice C2 o viceversa.
FriendDelivery recita il ruolo di loader e componente di persistenza per BoxOfFriends, fornita in forma di DLL malevola su sistemi Windows. La ricerca di ESET documenta come FriendDelivery sia in grado di installarsi come servizio, garantendo che la backdoor venga eseguita in modo regolare a ogni avvio del sistema e riducendo la probabilità che un semplice reboot interrompa l’accesso remoto dell’APT.
Per la fase finale della kill chain, quella dell’esfiltrazione, entra in gioco CompactGopher, uno strumento dedicato al prelievo e al trasferimento dei dati verso l’esterno. Il tool seleziona file mirati, li comprime e li invia attraverso la piattaforma di file sharing file.io, sfruttando un servizio pubblico che spesso non è bloccato nelle reti aziendali e che genera traffico HTTP di aspetto del tutto ordinario. In questo modo, il gruppo riduce la necessità di mantenere server di esfiltrazione dedicati e sposta ancora una volta la parte più delicata dell’operazione su un servizio legittimo, complicando il lavoro di analisi del traffico.
Parallelamente all’analisi del codice, ESET si è concentrata sul traffico C2, raccogliendo e studiando oltre cinquemila messaggi da Slack e diverse migliaia da Discord, oltre a un set significativo di bozze di email Outlook utilizzate da BoxOfFriends. I log dei canali Slack e Discord sono stati utilizzati inizialmente come ambienti di test, senza mai cancellare in modo sistematico la cronologia. Questa leggerezza ha offerto agli analisti una visuale sul ciclo di sviluppo del toolkit, sulle prove di distribuzione e sulle successive campagne in produzione, consentendo di datare l’attività almeno dal novembre 2023.
L’analisi dei timestamp dei messaggi e dei metadati associati ai canali ha permesso a ESET di affinare l’attribuzione geografica e temporale del gruppo. La maggior parte delle comunicazioni nei workspace e nei server controllati da GopherWhisper avviene tra le 8 e le 17 in un fuso orario cinese. Inoltre, una delle macchine di test individuate nei log è una VM VMware con tempi di installazione e di avvio coerenti con il fuso orario cinese.
I dati raccolti mostrano una vittimologia centrata sulle istituzioni governative, con il caso più documentato relativo a un ente pubblico della Mongolia, affiancato da almeno un’altra struttura governativa di un Paese vicino. La natura degli obiettivi, il tipo di informazioni cercate e il livello di investimento nello sviluppo di un toolkit custom portano ESET a considerare GopherWhisper un gruppo allineato agli interessi strategici di Pechino.