A campanha atribuída ao grupo GopherWhisper comprometeu cerca de 12 sistemas governamentais e combinou backdoors, coletores de arquivos e serviços legítimos como Slack, Discord, Outlook e file.io para comando, controle e exfiltração.
| Componente | Ambientes de instituições governamentais da Mongólia comprometidos por backdoors e utilitários associados ao grupo GopherWhisper, incluindo LaxGopher, RatGopher, CompactGopher, SSLORDoor, FriendDelivery e BoxOfFriends. |
| Vetor | O acesso inicial não foi determinado; após o ponto de apoio, o operador implanta loaders, injectors e backdoors, com comunicação de comando e controle por Slack, Discord, Microsoft Graph API/Outlook, sockets TLS em porta 443 e transferência via file[.]io. |
| Impacto | Cerca de 12 sistemas de uma instituição governamental mongol foram infectados; a campanha permite execução de comandos via cmd.exe, coleta seletiva de documentos, upload e download de arquivos, enumeração de unidades e exfiltração de arquivos compactados e cifrados. |
| Prioridade | Investigar hosts governamentais ou redes com tráfego anômalo para Slack, Discord, Microsoft 365 Outlook/Microsoft Graph e file[.]io, correlacionando execução de cmd.exe, criação de ZIPs cifrados, DLLs suspeitas e conexões brutas na porta 443. |
| Artefatos | JabGopher executa whisper.dll; LaxGopher usa Slack; RatGopher usa Discord e file[.]io; CompactGopher filtra extensões .doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt e .pptx; BoxOfFriends usa rascunhos de e-mail via Microsoft Graph API. |
| IoCs | Serviço file[.]io e conta barrantaya.1010@outlook[.]com aparecem como artefatos operacionais da campanha; o contexto não traz hashes, endereços IP ou domínios adicionais controlados pelo atacante. |
GopherWhisper é um grupo de ameaça anteriormente não documentado e alinhado à China que aparece associado a uma campanha contra instituições governamentais da Mongólia. A atividade foi observada em pelo menos 12 sistemas ligados a uma entidade governamental, com telemetria de canais de comando e controle em Discord e Slack sugerindo a existência de outras vítimas além desse conjunto confirmado. A campanha usa principalmente ferramentas escritas em Go, combinando backdoors, loaders, injectors e um coletor de arquivos com um backdoor em C++ para controle remoto. O objetivo técnico visível é manter acesso interativo, executar comandos no sistema operacional, transferir arquivos e coletar documentos de interesse em formatos comuns de escritório, imagem e texto.
A atribuição a um operador alinhado à China se apoia em características operacionais observadas nos canais de comunicação. A maior parte das mensagens em Slack e Discord foi enviada em horário comercial compatível com China Standard Time, entre 8h e 17h, e metadados de usuário no Slack estavam configurados para esse fuso. Esses elementos não provam, isoladamente, uma relação estatal formal, mas sustentam a classificação da operação como alinhada à China quando combinados com o alvo governamental mongol, a duração estimada desde pelo menos novembro de 2023 e o conjunto de implantes mantido pelo grupo. O acesso inicial permanece desconhecido, o que limita conclusões sobre exploração, phishing, credenciais ou abuso de serviços expostos.
A cadeia pós-comprometimento começa depois de um ponto de apoio ainda não explicado. A partir desse estágio, o operador tenta implantar múltiplas ferramentas no host comprometido. JabGopher atua como injector para executar o backdoor LaxGopher, identificado no arquivo whisper.dll. LaxGopher é um backdoor em Go que usa Slack como canal de comando e controle, recebe instruções, executa comandos por meio de cmd.exe, devolve resultados ao canal configurado e também baixa malware adicional. Esse desenho permite que o tráfego de C2 se misture a serviços de colaboração legítimos, dificultando bloqueios puramente baseados em categoria de aplicação quando a organização usa essas plataformas em fluxos normais de trabalho.
O conjunto de ferramentas inclui mecanismos especializados para coleta e exfiltração. CompactGopher, também escrito em Go e entregue por LaxGopher, procura arquivos com extensões específicas, incluindo .doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt e .pptx. Os arquivos selecionados são compactados em ZIP, cifrados com AES-CFB-128 e enviados para file[.]io. RatGopher usa um servidor Discord privado para receber mensagens de C2, executar comandos, publicar resultados no canal configurado e fazer upload ou download de arquivos por file[.]io. SSLORDoor, escrito em C++, usa OpenSSL BIO para comunicação por sockets brutos na porta 443, enumera unidades, realiza operações de arquivo e executa comandos recebidos via cmd.exe. FriendDelivery funciona como DLL maliciosa para carregar e injetar BoxOfFriends, um backdoor em Go que usa a Microsoft Graph API para criar rascunhos de e-mail como canal de C2 com credenciais embutidas.
A superfície exposta envolve estáções ou servidores de instituições governamentais mongóis nos quais o operador conseguiu executar código e implantar artefatos. O contexto confirma cerca de 12 sistemas infectados por backdoors, mas não descreve versões de sistema operacional, caminho de entrada, contas comprometidas, vulnerabilidades exploradas ou serviços inicialmente abusados. Isso é importante para a defesa: a ausência de vetor inicial conhecido exige uma investigação baseada em cadeia de execução e telemetria pós-comprometimento, em vez de uma busca limitada a um CVE, porta exposta ou assinatura de exploit.
Os serviços legítimos usados pela operação ampliam a superfície de detecção para além do endpoint. Slack, Discord, Microsoft 365 Outlook, Microsoft Graph API e file[.]io aparecem como parte do caminho de comando, controle e exfiltração. Ambientes que permitem esses serviços sem inspeção, controle de destino, validação de identidade e correlação por processo local ficam mais suscetíveis a perder sinais de abuso. No endpoint, a superfície crítica é a execução de DLLs e binários Go desconhecidos, a invocação de cmd.exe a partir de processos incomuns, a criação de arquivos ZIP intermediários, o uso de criptografia antes de upload e operações de enumeração de unidades realizadas por um processo sem função administrativa legítima.
- Sistemas governamentais da Mongólia com backdoors implantados e comunicação para Slack, Discord, Outlook/Microsoft Graph ou
file[.]io. - Hosts em que
cmd.exeé iniciado por DLLs, loaders ou binários Go sem relação com administração normal do ambiente. - Diretórios com documentos
.doc,.docx,.xls,.xlsx,.pdf,.ppt,.pptx,.txte imagens.jpgagrupados em ZIP antes de transferência externa. - Fluxos de rede para porta
443que não correspondem a uma sessão HTTPS comum, especialmente quando originados de binários desconhecidos associados aSSLORDoor.
A caça deve começar pela correlação entre execução local e serviços de nuvem usados como C2. Em endpoints, procure processos que chamam cmd.exe e redirecionam saída para canais externos, DLLs recém-criadas ou carregadas de caminhos temporários, binários Go sem assinatura ou sem inventário corporativo, e arquivos com nomes associados aos implantes quando disponíveis, como whisper.dll. A criação de ZIPs logo após enumeração de diretórios contendo documentos de escritório pode indicar atuação de CompactGopher, principalmente se seguida por conexões para file[.]io. Como os arquivos são cifrados com AES-CFB-128 antes da exfiltração, a ausência de conteúdo legível no arquivo final não reduz a relevância do evento.
Na rede e em identidade, os sinais mais úteis são desvios de uso. Conexões para Discord e Slack a partir de servidores que não deveriam usar ferramentas de colaboração, chamadas à Microsoft Graph API por processos não autorizados e criação de rascunhos de e-mail por contas sem padrão humano compatível merecem investigação. A conta barrantaya.1010@outlook[.]com aparece como artefato operacional da campanha e deve ser tratada como indicador para busca histórica. Em logs de proxy, EDR e DNS, file[.]io deve ser analisado em conjunto com compressão local, volume de saída e nomes de processos, porque o serviço em si pode ser legítimo em outros contextos. Para a porta 443, a validação deve diferenciar HTTPS normal de sockets brutos com OpenSSL BIO, observando processo de origem, handshake, destino e duração da sessão.
- Execução de
cmd.exedisparada porLaxGopher,RatGopher,SSLORDoorou processos sem papel administrativo conhecido. - Criação de ZIPs contendo documentos e imagens com extensões
.doc,.docx,.jpg,.xls,.xlsx,.txt,.pdf,.ppte.pptx. - Uploads para
file[.]ioapós compactação e cifragem local, principalmente a partir de hosts governamentais ou estáções de usuários com acesso a documentos sensíveis. - Uso de Slack ou Discord como canal de mensagens por binários desconhecidos, com publicação de resultados de comandos em canais configurados.
- Chamadas à Microsoft Graph API para manipular rascunhos de e-mail usando credenciais embutidas, incluindo busca pela conta
barrantaya.1010@outlook[.]com.
A resposta deve tratar a campanha como comprometimento ativo até que a organização prove o contrário por telemetria. O primeiro passo é isolar hosts com indicadores de backdoor, preservar memória, artefatos de disco e logs de rede, e mapear todos os processos que se comunicaram com Slack, Discord, Outlook/Microsoft Graph e file[.]io. Como o vetor inicial não é conhecido, a contenção não deve depender apenas de correção de uma falha específica. É necessário revisar persistência, tarefas agendadas, chaves de inicialização, serviços, DLLs carregadas, binários recém-instalados, contas usadas para execução remota e credenciais que tenham autenticado no período da atividade.
Depois da contenção, a organização deve restringir o uso de serviços legítimos que aparecem na cadeia da campanha. Discord, Slack e file[.]io devem ser permitidos apenas quando houver necessidade operacional, com inspeção por identidade, dispositivo e processo de origem. Chamadas à Microsoft Graph API precisam de auditoria de permissões, revisão de aplicativos consentidos e monitoramento de criação anômala de rascunhos. Para endpoints afetados, a limpeza deve incluir remoção dos implantes, verificação de cargas adicionais baixadas por LaxGopher e RatGopher, rotação de credenciais locais e de domínio usadas nos sistemas comprometidos, e validação de que não há novas conexões brutas pela porta 443 associadas ao comportamento de SSLORDoor. A recuperação só deve ocorrer após comparação de imagens, logs e inventário para confirmar que os artefatos da cadeia foram removidos.
- Isolar sistemas com tráfego para Slack, Discord, Microsoft Graph/Outlook ou
file[.]ioassociado a processos desconhecidos. - Bloquear ou condicionar
file[.]io, Discord e Slack por política de proxy quando não houver necessidade de negócio no segmento afetado. - Coletar memória, binários, DLLs, tarefas agendadas, serviços e histórico de execução antes de remover artefatos suspeitos.
- Revisar permissões e auditoria da Microsoft Graph API, com foco em criação de rascunhos e uso de credenciais embutidas.
- Rotacionar credenciais usadas em hosts comprometidos e validar ausência de novas execuções de
cmd.exepor loaders, injectors ou backdoors.
0 Comentários