新しいGopherWhisper APTグループがOutlook、Slack、Discordを通信に悪用

GopherWhisperという名前の、これまで記録されていない国家支援の脅威アクターが、Go言語ベースのカスタムツールキットと、Microsoft 365 Outlook、Slack、Discordなどの正規サービスを使用して、政府機関への攻撃を行っています。

2023年以降活動していた同ハッカーは中国と関連付けられており、数十人の被害者を侵害したと推定されています。

サイバーセキュリティ企業ESETによって特定されたキャンペーンで、脅威アクターはモンゴルの政府機関をターゲットとし、SlackとDiscord、およびMicrosoft Graph APIをコマンド・アンド・コントロール（C2）通信に使用する複数のバックドアを持つマルウェアセットを展開しました。

GopherWhisperはまた、カスタム流出ツールを使用して盗まれたデータを圧縮し、File.ioファイル共有サービスにアップロードしました。

2025年1月、ESETが検出した最初のGopherWhisperバックドアはGoで記述され、LaxGopherという名前が付けられました。このマルウェアはプライベートSlackサーバーからコマンドを取得し、コマンドプロンプトを使用して実行し、新しいペイロードをダウンロードできます。

さらなる調査により、脅威アクターが追加の悪質なツールを展開していたことが明らかになり、ほとんどがGoベースのものでした：

• RatGopher – C2にプライベートDiscordサーバーを使用し、コマンドを実行し、結果を設定されたチャネルに投稿するGoベースのバックドア。
• BoxOfFriends – Microsoft 365 Outlook（Microsoft Graph API）を活用してC2通信用のドラフトメールを作成・修正するGoベースのバックドア。
• SSLORDoor – OpenSSL BIOをローソケット（ポート443）で使用するC++バックドア。コマンド実行、ファイル操作（読み取り、書き込み、削除、アップロード）、ドライブ列挙を実行できます。
• JabGopher – svchost.exeを起動し、LaxGopherバックドア（whisper.dllに偽装）をそのメモリに注入するインジェクター。
• FriendDelivery – BoxOfFriendsバックドアを実行するローダーおよびインジェクターとして機能する悪質なDLL。
• CompactGopher – コマンドラインからデータを圧縮し、ファイル共有サービスfile.ioに流出させるGoベースのファイル収集ツール。

Goベースのバックドアにハードコードされた認証情報を使用して、研究者は攻撃者のSlack、Discord、Microsoft Outlookのアカウントにアクセスし、コマンド、アップロードされたファイル、および実験的活動で構成されるC2通信を回復できました。

「2024年8月21日まで遡る合計6,044のSlackメッセージと、最も古いものが2023年11月16日のDiscordメッセージ3,005件を取得・分析しました」とESETは本日の技術レポートで述べています。

このアクセスと、C2サーバーから取得したメタデータにより、研究者はハッカーを中国に関連付けることができました。

「これらのSlackメッセージのタイムスタンプ検査により、コマンドは午前12時から午後12時（UTC）の間に発行され、Discordメッセージ履歴により午前12時から午後2時（UTC）の間に送信されたコマンドが明かされました。」

さらに、研究者は、「Slackサーバーのメタデータで見つかったロケールzh-CN」に適合するタイムゾーンをUTC+8に変更すると、ESETは午前8時から午後5時の営業時間外のアクティビティがほとんど見られず、帰属の確実性が増加したと述べました。

ESETのテレメトリデータは、GopherWhisterがモンゴルの政府機関で12のシステムを侵害したことを示していますが、DiscordおよびSlack C2トラフィックの分析により、「数十の他の被害者」がいることが明らかになりました。ただし、研究者は彼らの地域と活動セクターについての可視性がありません。

GopherWhisterのインジケーター・オブ・コンプロマイズ（IoCs）のセットがESETから利用可能で、ディフェンダーが新しい脅威クラスターからの攻撃を特定およびブロックするのに役立ちます。