🔍 Contexte
Publié le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article présente la découverte d’un groupe APT jusqu’alors inconnu, baptisé GopherWhisper, identifié pour la première fois en janvier 2025 lors de l’analyse d’un système appartenant à une entité gouvernementale en Mongolie.
🎯 Attribution et ciblage
Le groupe est considéré comme aligné avec la Chine sur la base de plusieurs éléments :
- Les messages Slack et Discord ont été envoyés majoritairement entre 8h et 17h UTC+8 (heure standard de Chine)
- Les métadonnées Slack indiquent un fuseau horaire configuré en UTC+8
- Le comportement d’une machine opérateur (VM VMware) correspond également à ce fuseau horaire
Aucun chevauchement de code ou de TTPs avec un groupe connu n’a été identifié, justifiant la création d’une nouvelle attribution.
🛠️ Arsenal technique
Le groupe dispose d’un outillage varié, majoritairement écrit en Go :
- JabGopher : injecteur qui crée une instance de
svchost.exeet y injecte LaxGopher (déguisé enwhisper.dll) - LaxGopher : backdoor Go communiquant via un serveur Slack privé, exécute des commandes via
cmd.exe, peut télécharger des malwares supplémentaires - CompactGopher : outil Go d’exfiltration de fichiers vers le service file.io
- RatGopher : backdoor Go communiquant via un serveur Discord privé
- SSLORDoor : backdoor C++ utilisant OpenSSL BIO sur le port 443 pour énumération de disques et manipulation de fichiers
- FriendDelivery : DLL loader/injecteur exécutant BoxOfFriends
- BoxOfFriends : backdoor Go utilisant l’API REST Microsoft 365 Outlook (Microsoft Graph) via des brouillons d’emails pour les communications C2
📡 Infrastructure C2
GopherWhisper abuse de services légitimes pour ses communications C2 et l’exfiltration :
- Slack (LaxGopher)
- Discord (RatGopher)
- Microsoft 365 Outlook / Microsoft Graph API (BoxOfFriends)
- file.io (CompactGopher, exfiltration)
L’analyse des messages extraits a révélé des commandes d’énumération de disques et fichiers, ainsi que des liens vers des dépôts GitHub utilisés comme références de développement.
📅 Chronologie notable
- Compte Outlook
barrantaya.1010@outlook.comcréé le 11 juillet 2024 - DLL FriendDelivery créée le 22 juillet 2024 (11 jours après)
- Découverte du groupe par ESET : janvier 2025
📄 Type d’article
Il s’agit d’une publication de recherche (blogpost de synthèse accompagné d’un white paper complet), dont le but principal est de documenter un nouveau groupe APT, décrire son arsenal technique et partager les indicateurs de compromission avec la communauté CTI.
🧠 TTPs et IOCs détectés
Acteurs de menace
- GopherWhisper (state-sponsored) —
TTP
- T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
- T1102.002 — Web Service: Bidirectional Communication (Command and Control)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
- T1083 — File and Directory Discovery (Discovery)
- T1135 — Network Share Discovery (Discovery)
- T1560.001 — Archive Collected Data: Archive via Utility (Collection)
- T1567 — Exfiltration Over Web Service (Exfiltration)
IOC
- Emails :
barrantaya.1010@outlook.com - Fichiers :
whisper.dll
Malware / Outils
- LaxGopher (backdoor)
- RatGopher (backdoor)
- BoxOfFriends (backdoor)
- JabGopher (loader)
- CompactGopher (tool)
- FriendDelivery (loader)
- SSLORDoor (backdoor)
🟡 Indice de vérification factuelle : 61/100 (moyenne)
- ✅ welivesecurity.com — source reconnue (liste interne) (20pts)
- ✅ 9954 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : GopherWhisper (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/gopherwhisper-burrow-full-malware/