Cybervärlden har fått en ny aktör i form av GopherWhisper, en tidigare okänd APT-grupp (Advanced Persistent Threat), som nu har identifierats av cybersäkerhetsföretaget ESET. Gruppen har visat sig använda en rad innovativa tekniker i sina attacker, och deras utnyttjande av vanliga kommunikationsplattformar som Microsoft 365 Outlook, Slack och Discord gör dem särskilt svåra att upptäcka.

GopherWhisper har varit aktiv sedan åtminstone 2023 och har främst riktat sina attacker mot statliga enheter i Mongoliet, vilket belyser en möjlig geopolitisk intressekonflikt i regionen. Deras verktygslåda, som huvudsakligen är baserad på programmeringsspråket Go, innefattar flera bakdörrar som möjliggör dolda operationer genom de legitima tjänsterna.

En av de mest anmärkningsvärda verktygen i GopherWhispers arsenal är LaxGopher, en Go-baserad bakdörr som kan kommunicera med en privat Slack-server för att ta emot och utföra kommandon. Denna bakdörr kan även ladda ner nya skadliga komponenter, vilket gör den till ett kraftfullt verktyg för intrång. Ett annat verktyg, RatGopher, använder Discord för liknande syften, medan BoxOfFriends utnyttjar Microsoft Graph API för att manipulera e-postutkast som en del av sin kommunikationsstrategi.

Det som gör GopherWhisper särskilt oroande är deras användning av legitima plattformar för command-and-control (C2) kommunikation. Genom att gömma sig i vanlig trafik kan de lättare undgå upptäckten av traditionella säkerhetssystem. Detta är en del av en större trend där statligt stödda aktörer använder vanliga plattformar för att genomföra cyberattacker, vilket ställer nya och komplexa krav på säkerhetsprotokoll och övervakningssystem.

Säkerhetsexperter har kunnat spåra delar av GopherWhispers aktiviteter tack vare hårdkodade inloggningsuppgifter som återfanns i deras bakdörrar. Detta gav tillgång till angriparnas konton på de olika plattformarna och avslöjade en omfattande mängd kommunikation och experimentella aktiviteter.

Denna utveckling visar att cyberhotlandskapet blir allt mer sofistikerat och att det krävs nya strategier för att hantera aktörer som GopherWhisper. För svenska och nordiska organisationer, särskilt de med internationella kopplingar eller strategiska intressen i Asien, är det avgörande att vara medveten om dessa hot och implementera avancerade säkerhetsåtgärder för att skydda sina system.