【大纪元2026年04月26日讯】(大纪元记者李平综合报导)斯洛伐克国际互联网安全软件公司ESET研究人员发现一个全新的与中共有关的高级持续性威胁(Advanced Persistent Threat, APT)—GopherWhisper,利用Discord、Slack、Microsoft 365 Outlook 和 file.io等合法服务器,进行命令与控制(C&C)通信和数据窃取。
进行网络间谍活动
研究人员称,这个APT自 2023 年 11 月起至少一直活跃至今,通过对聊天记录和电子邮件的时间戳进行检查,发现该黑客组织是在中国境内运作。
研究人员还透露,这个APT此前从未被发现和记录过,拥有多个恶意工具,这些工具大多用 Go 语言编写,利用注入器和加载器部署和执行工具库中的各种后门,进行网络间谍活动。
2025年1月,研究人员在蒙古一个政府机构系统中发现一个此前未被记录的后门,将其命名为LaxGopher,深入调查后研究人员发现更多恶意工具。LaxGopher 后门使用 Slack 进行 C&C 通信,通过命令行执行命令、窃取受害者数据,并在受感染的机器上获取并执行其它有效载荷。
通过分析攻击者运营的 Discord 和 Slack 服务器的 C&C 通信流量,ESET 估计除这家蒙古政府机构外,可能还有几十家其它机构也成为攻击目标。
被发现的七种工具中,有四种是后门程序,分别是用 Go 语言编写的 LaxGopher、RatGopher 和 BoxOfFriends,以及用 C++ 编写的 SSLORDoor。此外,ESET 还发现了一个注入器(JabGopher)、一个基于 Go 语言的数据窃取工具(CompactGopher)和一个恶意 DLL 文件(FriendDelivery)。
由于ESET 发现的这组恶意软件与目前任何已知威胁行为者的工具,在代码上均无相似之处,且使用的战术、技术和程序(TTP)也与其它任何组织均无重叠,ESET 将其归入一个新的类别。
从中国境内运作
发现GopherWhisper的ESET 研究员埃里克・霍华德(Eric Howard)透露,调查过程中,研究人员成功提取了数千条 Slack 和 Discord 消息,以及一些Microsoft Outlook 邮件草稿,从而对其内部运作有了更深入的了解。
霍华德解释说,检查Slack 和 Discord 消息时间戳后,发现大部分消息都是在上午8点至下午5点之间的工作时间发送,与中国标准时间一致。此外,Slack 元数据中配置的用户地区也设置为中国时区,团队因此认定GopherWhisper 与中共有关。
ESET 调查还发现,该组织的 Slack 和 Discord 服务器最初被用来测试后门功能,随后在未清除日志的情况下,又被用作 LaxGopher 和 RatGopher 后门在多台受感染机器上的 C&C 服务器。除Slack 和 Discord 通信记录外,研究人员还利用 Microsoft Graph API 提取了 BoxOfFriends 后门与其 C&C 服务器之间通信的电子邮件。
责任编辑:林妍#
