Analisi

GopherWhisper: il nuovo APT cinese che spia il governo mongolo nascondendo il C2 in Slack, Discord e Outlook

Dario Fadda 24 Aprile 2026

ESET Research ha scoperto GopherWhisper, un nuovo gruppo APT allineato alla Cina attivo dal novembre 2023, specializzato nello spionaggio di istituzioni governative in Mongolia. La particolarità operativa che distingue questo attore: utilizza Discord, Slack e le bozze di Microsoft Outlook come canali di command-and-control, rendendo il traffico malevolo praticamente indistinguibile dalle normali comunicazioni aziendali.

Scoperta e attribuzione: 12 sistemi governativi mongoli compromessi

La ricerca pubblicata da ESET il 23 aprile 2026 rivela che GopherWhisper ha compromesso almeno 12 sistemi appartenenti a un’istituzione governativa mongola, con attività iniziata nel novembre 2023. La telemetria raccolta ha permesso ai ricercatori di recuperare migliaia di messaggi degli operatori direttamente dai server Discord e Slack compromessi, grazie al recupero di token API inclusi nel codice dei backdoor.

L’attribuzione alla Cina si basa su più elementi convergenti: l’analisi dei timestamp dei messaggi Slack e Discord mostra che il grosso delle comunicazioni avviene tra le 8:00 e le 17:00, perfettamente allineato con il China Standard Time (UTC+8). I metadati di configurazione dell’utente Slack configurato dagli operatori riportano inoltre il fuso orario cinese. ESET stima che le vittime complessive siano potenzialmente decine, ma non ha informazioni sulla loro geolocalizzazione o settore.

L’arsenale: sette tool, quattro backdoor, un’infrastruttura C2 distribuita

GopherWhisper si distingue per la proliferazione di strumenti personalizzati — sette in totale, quattro dei quali sono backdoor distinte. Questa ridondanza suggerisce un’organizzazione con risorse sufficienti per sviluppare e mantenere un ecosistema malware parallelo, probabilmente con team distinti per componente.

LaxGopher — Backdoor Go via Slack

Backdoor scritta in Go che usa Slack come canale C2. Esegue comandi tramite cmd.exe, pubblica i risultati su un canale Slack configurato e può scaricare payload aggiuntivi. La comunicazione avviene attraverso le API ufficiali di Slack, rendendola quasi impossibile da rilevare a livello di firewall senza ispezione applicativa.

RatGopher — Backdoor Go via Discord

Backdoor analoga a LaxGopher ma che usa Discord come infrastruttura C2. Riceve messaggi da un server Discord privato, esegue comandi, pubblica i risultati sui canali configurati e gestisce upload/download da file[.]io. L’uso di due piattaforme separate (Slack e Discord) per backdoor distinte è probabilmente una strategia di ridondanza operativa.

BoxOfFriends — Backdoor via bozze Outlook

La backdoor più sofisticata dal punto di vista della tradecraft: gestisce il C2 attraverso bozze email di Microsoft 365 Outlook. Le istruzioni vengono scritte come bozze sul server di posta — mai inviate — e recuperate dal backdoor. Questa tecnica sfrutta il fatto che il traffico HTTPS verso i server Microsoft è quasi universalmente consentito e ignorato dagli strumenti di monitoraggio. È una variante della tecnica nota come “draft-based C2”, già osservata in alcuni APT mediorientali.

SSLORDoor — Backdoor C++ con raw socket

Backdoor scritta in C++ che comunica su porta 443 attraverso connessioni raw socket con OpenSSL BIO. A differenza dei backdoor Go che usano servizi cloud legittimi, SSLORDoor comunica direttamente con infrastruttura C2 controllata dall’attaccante. Supporta enumerazione di drive, operazioni su file e esecuzione di comandi via cmd.exe.

CompactGopher — Strumento di esfiltrazione

Tool Go-based di raccolta e esfiltrazione file, deployato da LaxGopher. Filtra i file di interesse per estensione, li comprime in ZIP, li cifra con AES-CFB-128 e li esfiltra su file[.]io. Le estensioni target sono documentali: .doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt, .pptx.

FriendDelivery e JabGopher

FriendDelivery è una DLL malevola che funge da loader e injector per BoxOfFriends. JabGopher è un injector generico del toolkit. Entrambi i componenti svolgono funzioni di supporto nell’ecosistema GopherWhisper, gestendo il deployment e l’iniezione dei backdoor principali.

Living off Trusted Services: la nuova frontiera dell’evasione APT

La scelta di Discord, Slack e Outlook come canali C2 non è casuale: rappresenta l’evoluzione della tecnica “Living off the Land” applicata ai servizi cloud. Invece di abusare di tool di sistema Windows legittimi, GopherWhisper abusa di servizi cloud enterprise affidabili il cui traffico è quasi impossibile da bloccare senza interrompere le operazioni aziendali normali.

L’approccio crea un problema fondamentale per i difensori: bloccare Discord o Slack a livello di firewall è tecnicamente fattibile, ma spesso politicamente impraticabile in organizzazioni che li usano quotidianamente. Rilevare il C2 richiede quindi un’analisi comportamentale del traffico verso questi servizi — pattern anomali di accesso, frequenza, orari e dimensioni dei payload.

Indicatori di compromissione

## GopherWhisper IoC (fonte: ESET Research, aprile 2026)
## IoC completi disponibili su: github.com/eset/malware-ioc

## Strumenti identificati
LaxGopher     - Go backdoor, C2: Slack API
RatGopher     - Go backdoor, C2: Discord API  
BoxOfFriends  - Go backdoor, C2: Microsoft Outlook drafts (M365)
SSLORDoor     - C++ backdoor, C2: raw socket port 443
CompactGopher - Go exfil tool, upload: file[.]io (AES-CFB-128)
FriendDelivery - DLL loader/injector per BoxOfFriends
JabGopher      - Injector generico

## Estensioni file target (CompactGopher)
.doc .docx .jpg .xls .xlsx .txt .pdf .ppt .pptx

## Caratteristiche di attribuzione
- Orari operativi: 08:00-17:00 CST (UTC+8)
- Locale configurato: China Standard Time
- Vittime confermate: istituzione governativa Mongolia (gen 2025)
- Attività iniziale: novembre 2023

Consigli per i difensori

GopherWhisper solleva sfide difensive specifiche legate all’abuso di servizi cloud legittimi:

  • Monitoraggio del traffico verso servizi di messaggistica: Implementare analisi comportamentale del traffico verso Discord, Slack e Microsoft 365. Pattern anomali — accessi notturni, frequenza insolita, grandi upload su file.io — possono indicare attività C2.
  • Controllo degli accessi alle API di servizi cloud: Gestire e monitorare i token API delle piattaforme aziendali. Un’applicazione non autorizzata che accede alle API Slack o Discord dall’interno della rete è un segnale di allarme.
  • Ispezione delle bozze email: La tecnica “draft-based C2” via Outlook è particolarmente insidiosa poiché non genera traffico SMTP. Considerare soluzioni DLP (Data Loss Prevention) in grado di ispezionare le bozze nei sistemi di posta enterprise.
  • EDR con visibilità sulle chiamate Go runtime: I backdoor Go presentano pattern di comportamento riconoscibili a livello di runtime. Assicurarsi che le soluzioni EDR abbiano firma e behavioral detection per payload Go-based.
  • Blocco dei servizi di file-sharing anonimi: Limitare o monitorare il traffico verso file[.]io e servizi analoghi nelle reti governative e critiche. Questi servizi sono raramente necessari per operazioni aziendali legittime.

Il report completo di ESET Research è disponibile su WeLiveSecurity, con indicatori di compromissione pubblicati nel repository GitHub ufficiale di ESET.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su GopherWhisper: il nuovo APT cinese che spia il governo mongolo nascondendo il C2 in Slack, Discord e Outlook, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ NINAsec - la newsletter ]]