BACK to News ESET : GopherWhisper, nouveau groupe lié à la Chine, espionne via les messageries Discord, Slack et Outlook
ESET I 4:47 pm, 23rd April
- ESET Research a découvert GopherWhisper, un nouveau groupe APT lié à la Chine, qui cible des institutions gouvernementales en Mongolie.
- GopherWhisper utilise Discord, Slack, Microsoft 365 Outlook et file.io pour ses communications de commande et de contrôle (C&C) et l'exfiltration de données.
- Parmi les outils du groupe, on trouve des portes dérobées personnalisées en Go, des injecteurs, des outils d'exfiltration, le chargeur FriendDelivery et une porte dérobée en C++.
- ESET a analysé le trafic C&C provenant des canaux Slack et Discord de l'attaquant, obtenant ainsi des informations sur ses opérations internes et activités post-compromission.
ESET a découvert un groupe APT (menace persistante avancée) lié à la Chine et encore inconnu, qu'il a baptisé GopherWhisper. Ce groupe utilise de nombreux outils, principalement écrits en Go, qui exploitent des injecteurs et des chargeurs pour déployer et exécuter diverses portes dérobées. Pendant la campagne observée, les acteurs malveillants ont ciblé une institution gouvernementale en Mongolie. GopherWhisper détourne des services légitimes, dont Discord, Slack, Microsoft 365 Outlook et file.io, pour ses communications de commande et de contrôle (C&C) et l'exfiltration de données.
ESET a découvert le groupe en janvier 2025, en identifiant une porte dérobée encore inconnue, baptisée LaxGopher par ses chercheurs, dans le système d'une institution gouvernementale mongole. En approfondissant leurs investigations, ils ont découvert d’autres outils malveillants, principalement diverses portes dérobées supplémentaires, tous déployés par le même groupe. La majorité de ces outils étaient écrits en Go et leur objectif commun était le cyberespionnage.
D'après la télémétrie d'ESET, la victime des portes dérobées GopherWhisper est une institution gouvernementale mongole. L'analyse du trafic des serveurs C&C exploités par l'attaquant suggère qu'une douzaine d'autres victimes, ont également été touchées. Cependant, ESET ne dispose d'aucune information concernant leur localisation géographique ou leurs secteurs d'activité.
Parmi les sept outils découverts, quatre sont des portes dérobées : LaxGopher, RatGopher et BoxOfFriends, écrits en Go, et SSLORDoor, écrit en C++. ESET a aussi trouvé un injecteur (JabGopher), un outil d’exfiltration basé sur Go (CompactGopher) et une DLL malveillante (FriendDelivery).
Comme le maliciel découvert ne présentait aucune similitude de code avec les outils d'acteurs malveillants connus, et qu'aucun chevauchement n'a été constaté dans les tactiques, techniques et procédures (TTP) utilisées par d'autres groupes, ESET a attribué ces outils à un nouveau groupe. Les chercheurs l’ont nommée GopherWhisper, car la majorité de ses outils sont écrits en Go, un langage de programmation dont la mascotte est le gopher, et en se basant sur le nom du fichier whisper.dll, installé manuellement.
GopherWhisper se caractérise par l'utilisation intensive de services légitimes comme Slack, Discord et Outlook pour ses C & C. « Au cours de notre enquête, nous avons extrait des milliers de messages Slack et Discord, ainsi que plusieurs brouillons de courriels Microsoft Outlook. Ainsi nous avons mieux compris le fonctionnement interne du groupe », explique Eric Howard, le chercheur d’ESET, qui a découvert ce nouveau groupe de menaces.
« L’analyse de l’horodatage des messages Slack et Discord montre que la plupart étaient envoyés pendant les heures de travail, entre 8 h et 17 h, ce qui correspond à l’heure normale de Chine. Lles paramètres régionaux de l’utilisateur configuré dans les métadonnées Slack étaient définis selon ce fuseau horaire. Nous pensons donc que GopherWhisper est un groupe basé en Chine », dit Howard.
Selon l'enquête d'ESET, les serveurs Slack et Discord ont d'abord servi à tester le fonctionnement des portes dérobées, puis, ont été utilisés comme serveurs C & C pour les portes dérobées LaxGopher et RatGopher sur diverses machines compromises. En plus des communications Slack et Discord, les chercheurs d'ESET ont également pu extraire, via l'API Microsoft Graph, les messages électroniques utilisés pour la communication entre la porte dérobée BoxOfFriends et son serveur C & C.
Eric Howard, chercheur d’ESET, a présenté ces résultats lors de la conférence Botconf 2026.
Subscribe to our Newsletters
Stay up to date with our latest news
more news
Is it time for IT model reinvention?
by PwC Luxembourg I 3:00 pm, 11th December
Discover how data, low-code, AI, integration and cybersecurity are converging to reinvent the IT operating model by 2030.
load more
