【2026年04月26日訊】(記者李平綜合報導)斯洛伐克國際互聯網安全軟件公司ESET研究人員發現一個全新的與中共有關的高級持續性威脅(Advanced Persistent Threat, APT)—GopherWhisper,利用Discord、Slack、Microsoft 365 Outlook 和 file.io等合法服務器,進行命令與控制(C&C)通信和數據竊取。
進行網絡間諜活動
研究人員稱,這個APT自 2023 年 11 月起至少一直活躍至今,通過對聊天記錄和電子郵件的時間戳進行檢查,發現該黑客組織是在中國境內運作。
研究人員還透露,這個APT此前從未被發現和記錄過,擁有多個惡意工具,這些工具大多用 Go 語言編寫,利用注入器和加載器部署和執行工具庫中的各種後門,進行網絡間諜活動。
2025年1月,研究人員在蒙古一個政府機構系統中發現一個此前未被記錄的後門,將其命名為LaxGopher,深入調查後研究人員發現更多惡意工具。LaxGopher 後門使用 Slack 進行 C&C 通信,通過命令行執行命令、竊取受害者數據,並在受感染的機器上獲取並執行其它有效載荷。
通過分析攻擊者運營的 Discord 和 Slack 服務器的 C&C 通信流量,ESET 估計除這家蒙古政府機構外,可能還有幾十家其它機構也成為攻擊目標。
被發現的七種工具中,有四種是後門程序,分別是用 Go 語言編寫的 LaxGopher、RatGopher 和 BoxOfFriends,以及用 C++ 編寫的 SSLORDoor。此外,ESET 還發現了一個注入器(JabGopher)、一個基於 Go 語言的數據竊取工具(CompactGopher)和一個惡意 DLL 文件(FriendDelivery)。
由於ESET 發現的這組惡意軟件與目前任何已知威脅行為者的工具,在代碼上均無相似之處,且使用的戰術、技術和程序(TTP)也與其它任何組織均無重疊,ESET 將其歸入一個新的類別。
從中國境內運作
發現GopherWhisper的ESET 研究員埃里克・霍華德(Eric Howard)透露,調查過程中,研究人員成功提取了數千條 Slack 和 Discord 消息,以及一些Microsoft Outlook 郵件草稿,從而對其內部運作有了更深入的了解。
霍華德解釋說,檢查Slack 和 Discord 消息時間戳後,發現大部分消息都是在上午8點至下午5點之間的工作時間發送,與中國標準時間一致。此外,Slack 元數據中配置的用戶地區也設置為中國時區,團隊因此認定GopherWhisper 與中共有關。
ESET 調查還發現,該組織的 Slack 和 Discord 服務器最初被用來測試後門功能,隨後在未清除日誌的情況下,又被用作 LaxGopher 和 RatGopher 後門在多台受感染機器上的 C&C 服務器。除Slack 和 Discord 通信記錄外,研究人員還利用 Microsoft Graph API 提取了 BoxOfFriends 後門與其 C&C 服務器之間通信的電子郵件。
責任編輯:林妍#
