Un gruppo di cybercriminali fino a oggi sconosciuto sta usando strumenti che praticamente tutti conoscono, come Outlook, Discord e Slack, per orchestrare attacchi informatici piuttosto sofisticati. Il nome assegnato a questa organizzazione è GopherWhisper, e secondo i ricercatori di ESET si tratta quasi certamente di un gruppo di origine cinese. La cosa interessante, e preoccupante allo stesso tempo, è il modo in cui questi criminali sfruttano servizi di uso quotidiano per far circolare comandi, rubare dati e mantenere il controllo sulle macchine infette. Per ora, i bersagli sembrano essere esclusivamente le istituzioni governative della Mongolia, ma il livello di complessità degli strumenti utilizzati merita attenzione.
L’arsenale di malware dietro GopherWhisper
Il primo malware identificato da ESET si chiama LaxGopher: è una backdoor scritta in linguaggio Go che comunica con un server Slack privato. Da lì riceve comandi e scarica ulteriori payload. Ma LaxGopher è solo la punta dell’iceberg, perché dopo un’analisi più approfondita sono saltati fuori altri sei strumenti malevoli, ognuno con un ruolo ben preciso nella catena d’attacco.
JabGopher, ad esempio, si occupa di iniettare la backdoor LaxGopher, mascherata da un file chiamato whisper.dll, direttamente nella memoria del processo svchost.exe. Poi c’è RatGopher, un’altra backdoor sempre scritta in Go, che questa volta interagisce con un server Discord privato per recuperare i messaggi di comando e controllo. SSLORDoor è invece una backdoor in C++ che usa OpenSSL BIO per comunicare tramite socket raw sulla porta 443. Le sue capacità sono piuttosto ampie: può eseguire comandi legati all’apertura, alla lettura, alla scrittura, alla cancellazione e al caricamento di file, tutto su input dei server di controllo.
E non finisce qui. BoxOfFriends è una backdoor, sempre in Go, che sfrutta l’API REST di Microsoft 365 Outlook in modo decisamente creativo: crea e modifica bozze di email per comunicare con i server di comando e controllo. Nessun messaggio viene inviato, tutto passa attraverso le bozze. FriendDelivery funziona come loader per BoxOfFriends, trattandosi di una DLL infetta che si occupa di caricarla nel sistema. CompactGopher, infine, è un tool che comprime i file rubati e li trasferisce in automatico al servizio file.io.
Come i ricercatori hanno ricostruito le attività di GopherWhisper
La cosa notevole di questa vicenda è che i ricercatori di ESET sono riusciti ad accedere direttamente agli account usati dal gruppo GopherWhisper su Slack, Discord e Microsoft Outlook. Come? Sfruttando le credenziali codificate direttamente all’interno delle backdoor scoperte. Un errore da parte degli attaccanti che ha permesso agli analisti di osservare dall’interno le comunicazioni con i server C2, compresi i comandi impartiti, i file caricati e persino alcune attività che sembravano di natura sperimentale, come se il gruppo stesse ancora testando parte del proprio arsenale.
L’intero set di malware rivela un’organizzazione metodica: ogni componente ha una funzione specifica, dal caricamento iniziale fino all’esfiltrazione dei dati, passando per il mantenimento dell’accesso persistente ai sistemi compromessi. Il fatto che GopherWhisper sfrutti piattaforme legittime e diffusissime rende la rilevazione molto più complicata rispetto a canali di comunicazione tradizionali usati dai gruppi criminali. Tutto il traffico si mescola con quello normale degli utenti, e questo è esattamente il punto di forza di un approccio simile. La descrizione tecnica completa di ogni singolo componente è disponibile nel report PDF pubblicato da ESET.
