中共最新APT被曝用合法服务器攻击海外机构

中共最新APT被曝光， GopherWhisper用合法服务攻击外国政府机构。

斯洛伐克国际互联网安全软件公司ESET研究人员发现一个全新的与中共有关的高级持续性威胁（Advanced Persistent Threat， APT）—GopherWhisper，利用Discord、Slack、Microsoft365 Outlook和 file.io等合法服务器，进行命令与控制（C&C）通信和数据窃取。

进行网络间谍活动

研究人员称，这个APT自2023年11月起至少一直活跃至今，通过对聊天记录和电子邮件的时间戳进行检查，发现该黑客组织是在中国境内运作。

研究人员还透露，这个APT此前从未被发现和记录过，拥有多个恶意工具，这些工具大多用 Go语言编写，利用注入器和加载器部署和执行工具库中的各种后门，进行网络间谍活动。

2025年1月，研究人员在蒙古一个政府机构系统中发现一个此前未被记录的后门，将其命名为LaxGopher，深入调查后研究人员发现更多恶意工具。LaxGopher后门使用 Slack进行 C&C通信，通过命令行执行命令、窃取受害者数据，并在受感染的机器上获取并执行其它有效载荷。

通过分析攻击者运营的 Discord和 Slack服务器的 C&C通信流量，ESET估计除这家蒙古政府机构外，可能还有几十家其它机构也成为攻击目标。

被发现的七种工具中，有四种是后门程序，分别是用 Go语言编写的 LaxGopher、RatGopher和 BoxOfFriends，以及用 C++编写的 SSLORDoor。此外，ESET还发现了一个注入器（JabGopher）、一个基于 Go语言的数据窃取工具（CompactGopher）和一个恶意 DLL文件（FriendDelivery）。

由于ESET发现的这组恶意软件与目前任何已知威胁行为者的工具，在代码上均无相似之处，且使用的战术、技术和程序（TTP）也与其它任何组织均无重叠，ESET将其归入一个新的类别。

从中国境内运作

发现GopherWhisper的ESET研究员埃里克・霍华德（Eric Howard）透露，调查过程中，研究人员成功提取了数千条 Slack和 Discord消息，以及一些Microsoft Outlook邮件草稿，从而对其内部运作有了更深入的了解。

霍华德解释说，检查Slack和 Discord消息时间戳后，发现大部分消息都是在上午8点至下午5点之间的工作时间发送，与中国标准时间一致。此外，Slack元数据中配置的用户地区也设置为中国时区，团队因此认定GopherWhisper与中共有关。

ESET调查还发现，该组织的 Slack和 Discord服务器最初被用来测试后门功能，随后在未清除日志的情况下，又被用作 LaxGopher和 RatGopher后门在多台受感染机器上的 C&C服务器。除Slack和 Discord通信记录外，研究人员还利用 Microsoft Graph API提取了 BoxOfFriends后门与其 C&C服务器之间通信的电子邮件。