ESET, Moğolistan’daki devlet kurumlarını hedef alan ve GopherWhisper olarak adlandırılan, Çin ile bağlantılı yeni bir APT grubunu keşfetti. Grup, casusluk faaliyetleri için Discord, Slack ve Outlook mesajlaşma hizmetlerini kötüye kullanıyor.
GopherWhisper APT Grubu ve Araçları
ESET araştırmacıları, daha önce kayıtlara geçmemiş Çin bağlantılı GopherWhisper adlı APT grubunu tespit etti. Grup, çoğunlukla Go dilinde yazılmış enjektörler ve yükleyiciler kullanarak çeşitli arka kapılar dağıtıyor ve çalıştırıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı.
İletişim ve Saldırı Yöntemleri
GopherWhisper, komuta ve kontrol (C&C) iletişimi ile veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor. ESET araştırmacıları, bu grubu Ocak 2025’te Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduklarında keşfetti ve bu arka kapıya LaxGopher adını verdi.
Araçların Detayları ve Etkileri
Araştırma sonucunda, grup tarafından dağıtılan birkaç kötü amaçlı araç ortaya çıktı. Bunların çoğu Go dilinde yazılmış olup, ortak amaçları siber casusluk. ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurbanlar arasında bir Moğolistan devlet kurumu bulunuyor. Ayrıca, Discord ve Slack sunucularından gelen C&C trafiği analiz edilerek, onlarca başka kurbanın da etkilendiği tahmin ediliyor.
Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) bulundu.
Grubun Özellikleri ve İsimlendirme
ESET, grubun araçlarının bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediğini belirtti. Ayrıca, grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) başka hiçbir grupla örtüşmüyor. Araştırmacılar, araçların çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak gruba GopherWhisper adını verdi.
Grup Hakkında Açıklamalar
ESET araştırmacısı Eric Howard, “GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde ettik. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi” dedi.
Slack ve Discord mesajlarının zaman damgası incelemesi, mesajların çoğunun çalışma saatleri içinde, Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarının da bu saat dilimine ayarlanmış olması, grubun Çin merkezli olduğuna işaret ediyor.
Kullanılan Sunucular ve İletişim
ESET’in araştırmasına göre, grubun Slack ve Discord sunucuları önce arka kapıların işlevselliğini test etmek için kullanıldı. Daha sonra ise ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak görev yaptı.
Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkardı.
Sunum ve Detaylı Bilgi
ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.
Detaylı bilgi için: https://antivirus.com.tr/gopherwhisper-kotu-amacli-yazilimlarla-dolu-bir-yuva/
Yorumlar kapalı.