新たに発見されたAPTが、コマンド・アンド・コントロール(C&C)通信とデータ流出に正当なサービスを利用していると、ESETが警告しています。
GopherWhisper(PDF)として追跡されており、少なくとも2023年11月から活動しているこのハッキンググループは、チャットメッセージとメールのタイムスタンプ検査により中国から活動していることが明らかになっています。
このAPTは2025年1月、モンゴルの政府機関のシステムで発見されたGo言語ベースのバックドアの調査中に注目を浴びました。これにより、グループに関連する他の複数のバックドア、カスタムローダー、インジェクターが特定されました。
LaxGopherと呼ばれるこのバックドアはC&C通信にSlackを使用し、コマンドプロンプト経由でコマンドを実行し、被害者データを流出させ、感染したマシンで追加のペイロードを取得して実行できます。ESETによれば、GopherWhisperは主にLaxGopherを使用してドライブとファイルを列挙していました。
JabGopherという名前のインジェクターは、新しく生成されたsvchost.exeのインスタンスのメモリ内でバックドアを実行するために使用されます。
LaxGopherが展開できるツールの1つがCompactGopherです。これはGo言語で書かれたファイル収集ツールで、コマンドラインからファイルを圧縮し、公開REST APIを使用してfile.ioファイル共有サービスに送信できます。
GopherWhisperの兵器庫にあるもう1つのツールはRatGopherで、Go言語ベースのバックドアです。LaxGopherとは異なり、C&C通信にDiscordを使用します。新しいコマンドプロンプトインスタンスを開き、file.ioからファイルをアップロードまたはダウンロードできます。
このAPTはSSLORDoorと呼ばれるC++バックドアにも依存しており、これはOpenSSL BIOを使用してRAW TCPソケット経由で通信します。このマルウェアは隠しコマンドプロンプトプロセスを生成し、ドライブを列挙し、ファイル操作に関連するコマンドを実行し、新しいソケット接続を作成できます。
ESETの調査により、GopherWhisperが同じモンゴルの政府機関に対して展開した2つの追加ツールが発見されました。すなわち、下書きOutlookメッセージを介した通信にMicrosoft Graph APIに依存するBoxOfFriends GoバックドアとそれをロードするFriendDelivery DLLインジェクターです。
BoxOfFriendsバックドアはファイルを流出させ、ポートを操作し、ホストで開かれたシェルを介して供給されたコマンドを実行できます。
この中国関連のAPTは、被害を受けたモンゴルの政府機関内のおよそ12システムを感染させました。ESETによれば、他の多くの被害者も標的にされた可能性があります。
「既存のAPTグループとのコード、TTP、および標的化の類似性がないため、GopherWhisperを新しいグループとして作成し、記載されたツールセットをそれに帰属させました」とESETは指摘しています。
