23.04.2026
1 хв
211
Нове APT-угруповання GopherWhisper використовує легітимні сервіси, такі як Outlook, Slack і Discord, для управління атаками та збору даних. Кампанія спрямована на державні структури і вже призвела до компрометації десятків цілей.
За даними дослідників, кампанія триває щонайменше з 2023 року. Групу пов’язують із Китаєм, а кількість жертв уже може сягати десятків.
Атаку вперше детально описали аналітики ESET. Однією з підтверджених цілей стала державна установа в Монголії. У її мережі зловмисники розгорнули цілий набір шкідливого ПЗ з кількома бекдорами. Для управління вони використовували звичайні сервіси, зокрема API Microsoft Graph, Slack і Discord, маскуючи таким чином свій трафік під легітимний.
Окрему увагу привертає підхід до викрадення даних. GopherWhisper стискає інформацію перед передачею і завантажує її на сервіс file.io, що допомагає залишатися менш помітними.
Перший інструмент групи, бекдор LaxGopher, дослідники виявили ще у січні 2025 року. Він написаний на Go, отримує команди зі Slack, виконує їх через командний рядок і може завантажувати додаткові модулі.
Подальший аналіз показав, що це лише частина більшого набору інструментів. Зокрема, у кампанії використовуються:
RatGopher – працює через Discord і передає результати виконаних команд;
BoxOfFriends – використовує Outlook і Microsoft Graph для прихованого зв’язку через чернетки листів;
SSLORDoor – бекдор на C++, який працює через порт 443 і дозволяє керувати файлами та системою;
JabGopher – інжектор, що запускає svchost.exe і підвантажує шкідливий код у пам’ять;
FriendDelivery – DLL-завантажувач для запуску інших компонентів;
CompactGopher – інструмент для збору і стиснення даних перед їх передачею.
Фактично вся інфраструктура побудована так, щоб виглядати як звичайна активність користувача.
Цікавий момент – дослідникам вдалося отримати доступ до облікових записів зловмисників. Причина доволі проста: частина облікових даних була жорстко прописана в коді бекдорів.
У результаті вони змогли відновити комунікацію атакуючих і проаналізувати тисячі повідомлень.
«Ми отримали та проаналізували загалом 6044 повідомлення у Slack… а також 3005 повідомлень у Discord», – зазначають у звіті ESET.
Аналіз цих даних допоміг точніше встановити походження атаки. Часові мітки показали, що активність збігається з робочим графіком у часовому поясі UTC+8. Після корекції на цей пояс більшість дій відбувалася у стандартний робочий час, що додатково вказує на китайський слід.
За телеметрією ESET, у межах однієї лише атаки було скомпрометовано щонайменше 12 систем у державній установі Монголії. Але аналіз каналів управління в Slack і Discord показує, що реальна кількість жертв значно більша. Точні масштаби кампанії поки залишаються невідомими.
