Un groupe APT inédit aligné sur Pékin
Les chercheurs d’ESET ont révélé l’existence d’un groupe de menace persistante avancée (APT) jusqu’alors inconnu, qu’ils ont baptisé GopherWhisper. Découvert en janvier 2025 après la détection d’une porte dérobée inédite sur un système gouvernemental mongol, ce groupe se distingue par une méthode opératoire originale : il détourne des plateformes légitimes et populaires pour conduire ses opérations d’espionnage.
L’absence totale de similitudes de code avec des familles de malwares répertoriées, et l’absence de recoupement dans les tactiques, techniques et procédures (TTP) connues, ont conduit ESET à qualifier GopherWhisper de nouvel acteur distinct dans le paysage des menaces cyber.
Discord et Slack au service du cyberespionnage
Ce qui distingue fondamentalement GopherWhisper d’autres groupes APT, c’est son recours intensif à des services cloud grand public : Discord, Slack, Microsoft 365 Outlook et file.io sont utilisés comme infrastructure de commande et contrôle (C&C), ainsi que pour l’exfiltration de données sensibles.
Cette stratégie présente un avantage tactique majeur : le trafic malveillant se fond dans les flux légitimes de ces plateformes, compliquant considérablement sa détection par les outils de sécurité classiques. « Au cours de nos investigations, nous avons pu extraire des milliers de messages Slack et Discord, ainsi que plusieurs brouillons d’emails issus de Microsoft Outlook, offrant une visibilité inédite sur les opérations internes du groupe », explique Eric Howard, chercheur chez ESET.
Un arsenal technique sophistiqué développé en Go
ESET a identifié sept outils distincts dans l’arsenal de GopherWhisper. Quatre sont des portes dérobées : LaxGopher, RatGopher et BoxOfFriends, développées en langage Go, ainsi que SSLORDoor, codée en C++. L’arsenal comprend également JabGopher (un injecteur), CompactGopher (un outil d’exfiltration en Go) et FriendDelivery (une DLL malveillante).
Le choix du langage Go est stratégique : il facilite la compilation multiplateforme et complique l’analyse par reverse engineering. Le nom du groupe est d’ailleurs un hommage à cette technologie — « Gopher » étant la mascotte officielle du langage Go — combiné à whisper.dll, la DLL utilisée pour les opérations de chargement latéral (DLL sideloading).
Des dizaines d’entités potentiellement compromises
Si la victime initiale confirmée est une institution gouvernementale en Mongolie, la télémétrie ESET et l’analyse du trafic C&C suggèrent que des dizaines d’autres entités ont été compromises. Leur localisation géographique et leur secteur d’activité n’ont pas encore pu être déterminés.
L’analyse révèle que les infrastructures Slack et Discord ont d’abord été utilisées pour tester les capacités des portes dérobées, avant d’être déployées sans purge des journaux comme serveurs C&C pour les implants actifs sur plusieurs machines compromises.
Une attribution solide pointant vers la Chine
L’attribution à un acteur aligné sur les intérêts de la Chine repose sur plusieurs indices convergents. L’analyse temporelle des messages Slack et Discord montre qu’ils sont majoritairement envoyés durant les heures de bureau, entre 8h et 17h, correspondant au fuseau horaire de Pékin. De plus, les métadonnées Slack confirmaient également une localisation dans cette région.
Pour une analyse technique complète de GopherWhisper et de son arsenal, ESET a publié un article de blog et un livre blanc intitulé « GopherWhisper : Un terrier rempli de malwares » sur WeLiveSecurity.com
