ESET 警告稱，一個新發現的 APT 組織正利用合法服務進行命令與控制 (C&C) 通訊和資料竊取。

該組織名為 GopherWhisper（PDF），自 2023 年 11 月起至少一直活躍至今。透過對聊天記錄和電子郵件的時間戳進行檢查，發現該駭客組織位於中國境內。

該 APT 組織於 2025 年 1 月進入公眾視野。當時，在對蒙古某政府機構系統中發現的基於 Go 語言的後門進行調查時，該組織被發現，並由此發現了與該組織相關的其他幾個後門、自定義加載器和注入器。

該後門名為 LaxGopher，使用 Slack 進行 C&C 通信，可以透過命令提示字元執行命令、竊取受害者數據，並在受感染的機器上取得並執行其他有效載荷。 ESET 表示，GopherWhisper 主要利用 LaxGopher 來列舉驅動器和檔案。

一個名為 JabGopher 的注入器用於在新產生的 svchost.exe 實例的記憶體中執行後門。

LaxGopher 可以部署的工具之一是 CompactGopher，這是一個用 Go 語言編寫的文件收集器，它可以從命令列壓縮文件，並使用公共 REST API 將壓縮後的文件發送到 file.io 文件共享服務。

GopherWhisper 的另一個攻擊工具是 RatGopher，一個基於 Go 語言的後門程式。與 LaxGopher 不同，它使用 Discord 進行 C&C 通訊。它可以打開新的命令提示字元窗口，並從 file.io 上傳或下載檔案。

該 APT 組織還依賴一個名為 SSLORDoor 的 C++ 後門程序，該程序使用 OpenSSL BIO 透過原始 TCP 套接字進行通訊。該惡意軟體可以產生一個隱藏的命令提示字元進程，枚舉驅動器，執行與檔案操作相關的命令，並建立新的套接字連接。

ESET 的調查還發現了 GopherWhisper 針對同一蒙古政府機構部署的另外兩個工具，分別是 BoxOfFriends Go 後門程式（它依賴 Microsoft Graph API 透過 Outlook 草稿郵件進行通訊）和載入該後門程式的 FriendDelivery DLL 注入器。

BoxOfFriends 後門程式可以透過在主機上開啟的 shell 竊取檔案、操縱連接埠並執行提供的命令。

與中國有關的APT組織感染了蒙古政府機構內約12個系統。 ESET表示，可能還有數十個其他受害者也成為了攻擊目標。

ESET指出：“由於該組織在代碼、戰術、技術和目標定位方面與任何現有APT組織都不相似，我們已將GopherWhisper創建為一個新的組織，並將所描述的工具集歸於該組織。”