攻撃者は日常的なコラボレーションプラットフォームを利用して、通常のエンタープライズノイズの中にコマンド&コントロールトラフィックを隠蔽し続けています。新たに特定された中国系APTグループはこのトレンドをさらに押し進め、Slackワークスペース、Discordサーバー、Outlookドラフト、file.ioファイル共有サービスを通じて作業を実行しています。
GopherWhisperツールセット概要
ESET研究者はこのグループをGopherWhisperと名付け、モンゴルの政府機関への侵入に結びつけました。この名前は2つの要素に由来しています。グループのツールのほとんどはGoで書かれており、そのマスコットはゴファーであり、サイドロードされたコンポーネントの1つはwhisper.dllとして提供されています。
ほぼGoで構築されたツールセット
GopherWhisperはカスタムローダー、インジェクター、バックドアのセットを操作しています。Goベースのコンポーネントには、LaxGopher、RatGopher、BoxOfFriendsの3つのバックドアと、JabGopherインジェクター、CompactGopherデータ流出ユーティリティ、FriendDeliveryローダーが含まれます。SSLORDoorと呼ばれるC++バックドアが兵器庫を完成させます。
各バックドアはコマンド&コントロール用の異なる正規サービスと組み合わせられています。LaxGopherはプライベートSlackワークスペースから指示を取得し、結果を同じチャネルに投稿します。RatGopherはDiscord上で同じデザインをミラーリングしています。BoxOfFriendsは異なるルートを使用し、Microsoft Graph APIを使用してOutlookドラフトメッセージを通じてコマンドを交換します。SSLORDoorはポート443の暗号化されたチャネル上で演算子と直接通信します。
サポートツールがチェーンの残りを処理します。JabGopherとFriendDeliveryはバックドアをメモリに読み込み、CompactGopherは選択されたファイルをパッケージ化し、file.ioファイル共有サービスを通じて送信します。
SlackとDiscord、Outlookから抽出された演算子メッセージ
C&Cの商用プラットフォームへの依存は両方向に機能しました。分析中に複数のSlackおよびDiscord APIトークンを回復した後、ESETはこれらのサービスから大量の演算子トラフィックを取得しました。
「調査中に、SlackおよびDiscordから数千のメッセージ、およびMicrosoft Outlookからのいくつかのドラフトメールメッセージを抽出することに成功しました。これにより、グループの内部動作について大きな洞察を得ることができました」と、新しい脅威グループを発見したESET研究者のEric Howard氏は述べています。
LaxGopherに関連付けられたSlackチャネルには、主にディスクとファイル列挙コマンドが含まれていました。また、Goサービスのインストール、x86およびx64でのプロセスインジェクション、暗号化および圧縮ユーティリティをカバーするパブリックGitHubリポジトリへのリンクも含まれていました。ESETは、演算子が開発中にこれらのリポジトリを参考にしたと評価しています。
RatGopherのDiscordチャネルには、バックドアの初期版と思われるGoソースコードと、演算子マシン上の列挙実行からの出力が含まれていました。そのマシンの1つはVMware仮想マシンであり、そのインストールとブートタイムスタンプはUTC+8に一致していました。
SlackとDiscordの両方のメッセージタイムスタンプはUTC+8の午前8時から午後5時の間に集中し、中国標準時と一致しています。Slackメタデータの設定されたユーザーロケールは同じタイムゾーンを指しており、中国系の帰属を裏付けています。
Outlookドラフトがインフラストラクチャのタイムラインを明かす
Outlookコンテンツの抽出により、攻撃者側の運用上の管理不十分な事柄が露わになりました。メールボックスがプロビジョニングされたときに送信されたMicrosoftからのウェルカムメールが残っていました。そのメッセージは、アカウントbarrantaya.1010@outlook[.]comが2024年7月11日に作成されたことを確認しました。BoxOfFriendsを読み込むFriendDelivery DLLは11日後の2024年7月22日にコンパイルされました。
調査官はまた、SlackとDiscordサーバーが最初はバックドアのテスト環境として開始され、後に複数の侵害されたシステム全体でLaxGopherとRatGopher用のライブC&Cチャネルとして使用されていることを確認しました。テストフェーズからのログは削除されることなく、ディフェンダーに対してグループの開発および展開活動をより長く監視するウィンドウを与えていました。
ESETは、そのGitHubリポジトリに侵害指標を公開しました。
翻訳元: https://www.helpnetsecurity.com/2026/04/23/gopherwhisper-apt-group/
