ESET ha desvelado una campaña sostenida contra entidades gubernamentales que introduce un actor nuevo, bautizado como GopherWhisper, y cuyo rasgo distintivo no es sólo su origen y objetivos, sino la manera en que combina malware personalizado escrito mayoritariamente en Go con plataformas legítimas de colaboración —Microsoft 365 Outlook (vía Microsoft Graph), Slack y Discord— para sus canales de mando y control (C2). Puede parecer una variación más de las técnicas que abusan de servicios en la nube, pero la mezcla de backdoors Go, inyectores que persisten en procesos del sistema y el uso de servicios públicos de intercambio de archivos convierte a esta operación en una amenaza relevante para administraciones públicas y organizaciones con datos sensibles.
Desde una perspectiva técnica, el conjunto de herramientas descubierto incluye componentes como un backdoor principal escrito en Go (LaxGopher) que consulta comandos desde un servidor privado de Slack, otro backdoor que usa Discord (RatGopher), uno que manipula borradores de correo en Outlook a través de la Microsoft Graph API (BoxOfFriends), loaders/injectores que esconden payloads en procesos genuinos (JabGopher, FriendDelivery) y una utilidad de exfiltración (CompactGopher) que comprime datos y los sube a servicios como file.io. También se identificó un backdoor en C++ que usa OpenSSL sobre sockets crudos (SSLORDoor), lo que demuestra la variedad técnica y la intención de persistencia y extracción de datos.
Un hallazgo clave del informe es la presencia de credenciales incrustadas en los binarios Go, las cuales permitieron a los investigadores recuperar historiales completos de comunicación C2: miles de mensajes en Slack y Discord, archivos subidos y órdenes emitidas. El análisis de marcas de tiempo y metadatos apunta a un patrón de actividad durante horas laborales compatibles con la zona horaria UTC+8 y metadatos que sugieren configuración en chino (locale zh-CN), datos que reforzaron la atribución hacia un actor con apoyo estatal y probable base operativa en esa región.
Las implicaciones prácticas son múltiples. Primero, confiar en la legitimidad de una plataforma externa ya no es un criterio de seguridad: los servicios de colaboración pueden actuar como túneles legítimos para instrucciones maliciosas y para mover datos sin levantar las alertas estándar de tráfico C2. Segundo, el uso de binarios escritos en Go dificulta la detección estática tradicional porque los ejecutables de Go suelen ser grandes y autoincluyentes, lo que complica la identificación basada en firmas simples. Tercero, las credenciales embebidas y el abuso de APIs legítimas aumentan el coste de la investigación forense y la respuesta, puesto que el adversario reutiliza caminos de comunicación que parecen tráfico legítimo.
Para defensores y responsables de seguridad, hay medidas concretas y urgentes que reducen la superficie de exposición. Auditar y revocar tokens y aplicaciones OAuth/consent en Microsoft 365, Slack y Discord debería ser prioritario; revisar integraciones que tengan permisos amplios sobre buzones o canales, y limitar el uso de borradores como canal de automando son pasos inmediatos. En entornos Microsoft, activar políticas de acceso condicional, exigir MFA para cuentas con permisos de API y habilitar registros y retención extendida para los logs de Microsoft Graph aumentan la visibilidad ante abusos furtivos de la plataforma.
En endpoints y red conviene reforzar la telemetría enfocada a binarios Go y patrones de comportamiento: monitorizar procesos que inyectan código en svchost.exe, detectar DLLs inusuales que actúan como loaders, y aplicar reglas de bloqueo o alertas para conexiones salientes hacia servicios de intercambio de ficheros públicos (como file.io) o hacia dominios/controladores asociados a las IoC publicadas. La inspección TLS y el filtrado de egress por reputación pueden ayudar, aunque requieren balancear privacidad y rendimiento en redes gubernamentales.
El intelligence compartido y la respuesta coordinada son esenciales. ESET ha publicado un informe técnico con detalles y un repositorio con indicadores de compromiso que los equipos de defensa pueden integrar en sus sistemas de detección y hunting; es recomendable incorporarlos en SIEM, EDR y listas de bloqueo. Puede leer el análisis de ESET en su blog y descargar el informe técnico desde sus recursos oficiales: ESET — GopherWhisper: análisis y ESET — informe técnico (PDF). También están disponibles indicadores en el repositorio público: IoC GopherWhisper en GitHub.
Para responsables de políticas y cumplimiento, este caso subraya la necesidad de regulaciones y contratos que obliguen a mantener registros de auditoría accesibles y a cooperar con incident response, además de la importancia de planes de continuidad que contemplen la exfiltración a servicios públicos. Las organizaciones que manejan información estatal o estratégica deben tratar las integraciones de terceros con el mismo rigor que el código propio, aplicando principios de mínimo privilegio, revisión continua y pruebas de seguridad.
Finalmente, para equipos de seguridad operativa: diseñen ejercicios de hunting que incluyan búsquedas por patrones de actividad en Slack/Discord que no correspondan al uso legítimo, por modificación de borradores en buzones de correo y por procesos Go inesperados. Habiliten y retengan logs suficientes para reconstruir cadenas de ataque y coordinen con proveedores de nube y plataformas de colaboración para acelerar la contención. La sofisticación técnica de GopherWhisper muestra que las amenazas estatales están adaptando tácticas a la infraestructura colaborativa global; la defensa requiere combinación de controles técnicos, visibilidad reforzada y colaboración entre sector público, privados y proveedores de servicios.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...