ESET araştırmacıları,GopherWhisper adını verdikleri, daha önce kayıtlara geçmemiş, Çin ile bağlantılı bir APT grubu keşfettiler. Grup, çoğunlukla Go dilinde yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli arka kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı. GopherWhisper, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor.
ESET araştırmacıları bu grubu Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduğunda keşfetti ve bu arka kapıya LaxGopher adını verdi. Daha derinlemesine araştırma yapan ekip, aynı grup tarafından dağıtılan, çoğunlukla çeşitli ek arka kapılar olmak üzere birkaç kötü amaçlı araç daha ortaya çıkardı. Bu araçların çoğu Go dilinde yazılmıştı ve ortak amaçları siber casusluktu.
ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini analiz eden ESET, Moğolistan kurumunun yanı sıra onlarca başka kurbanın da etkilendiğini tahmin ediyor; ancak bu kurbanların coğrafi konumları veya sektörleri hakkında herhangi bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca ESET, bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) buldu.
ESET’in tespit ettiği kötü amaçlı yazılım grubu, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve başka hiçbir grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir gruba atfediyor. Araştırmacılar, grubun araçlarının çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak bu gruba GopherWhisper adını verdi.
Yeni tehdit grubunu keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada şunları söyledi:
“GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde etmeyi başardık. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord mesajlarının zaman damgası incelemesi, bunların çoğunun çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir grup olduğuna inanıyoruz.”
ESET’in bu araştırmasına göre, grubun Slack ve Discord sunucuları ilk olarak arka kapıların işlevselliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak kullanıldı. Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkarabildiler.
Kaynak : 