Un nuevo actor persistente alineado con China, al que la firma eslovaca ESET ha bautizado como GopherWhisper, ha centrado su actividad en instituciones gubernamentales de Mongolia empleando un conjunto de herramientas inédito hasta ahora y técnicas que dificultan la detección tradicional. Lo relevante no es sólo el catálogo de malware —varios componentes desarrollados en Go y un backdoor en C++— sino la estrategia: los operadores abusan de servicios legítimos como Slack, Discord y Microsoft 365 para sus canales de comando y exfiltración, y usan servicios públicos de intercambio de archivos para sacar datos, lo que complica atribuciones y bloqueos sencillos.
Según la investigación compartida por ESET, el descubrimiento inicial se produjo tras identificar un backdoor nuevo en un sistema gubernamental en enero de 2025, y la telemetría posterior mostró una infección directa en alrededor de una docena de equipos con indicios de muchas otras víctimas conectadas a servidores de Slack y Discord controlados por los atacantes. Los componentes detectados (con nombres como LaxGopher, RatGopher, CompactGopher, SSLORDoor, BoxOfFriends, FriendDelivery y JabGopher) muestran una arquitectura modular: motores en Go para comunicación y recogida de archivos, un backdoor en C++ para control remoto y módulos que actúan como loaders/injectores. Esta modularidad facilita que el grupo adapten sus herramientas a objetivos concretos y cambien tácticas rápidamente.
Desde el punto de vista operativo, hay dos aspectos que merecen especial atención: primero, el abuso de plataformas empresariales y de mensajería para C2 y exfiltración; segundo, el uso de esquemas criptográficos y compresión para ocultar volúmenes de datos robados. Los atacantes crean o comprometen cuentas de Outlook para usar la API de Microsoft Graph como canal encubierto, utilizan canales privados de Discord y mensajes de Slack para dar órdenes, y suben archivos comprimidos y cifrados a servicios públicos para sacarlos de la red víctima. El patrón temporal de actividad observado por los investigadores, con mayor tráfico en el horario laboral de China Standard Time, añade un elemento táctico y geográfico que ayuda a contextualizar la atribución.
Las implicaciones políticas y de seguridad son claras: targeting contra entidades gubernamentales en Mongolia apunta a espionaje estratégico (política, defensa, recursos naturales y diplomacia) y a la recopilación sostenida de inteligencia. Para las organizaciones y administraciones, el caso demuestra que confiar únicamente en reglas que blokéan malware tradicional ya no es suficiente; los atacantes aprovechan herramientas y servicios legítimos que, por diseño, suelen tener acceso permitido y canales cifrados de confianza.
En términos de detección y respuesta, la recomendación inmediata es elevar la visibilidad sobre canales que a menudo permanecen fuera del alcance de SIEMs o EDRs: monitorizar el uso de APIs de colaboración (por ejemplo, Microsoft Graph), los patrones de creación de borradores o envío de correos desde cuentas inusuales, y subidas masivas o recurrentes a servicios externos de intercambio de archivos. También es crítico revisar logs de Slack/Discord para actividad automatizada o mensajes programados y correlacionar con actividad en endpoints. ESET y medios especializados han cubierto este caso; es útil seguir el análisis público y las IOCs que los investigadores compartan en sus canales de investigación (ESET Research, The Hacker News).
Desde la capa de identidad y acceso, hay acciones concretas que reducen la exposición: aplicar autenticación multifactor fuerte y mecanismos de acceso condicional en identidades privilegiadas, limitar y auditar permisos otorgados a aplicaciones que usan Microsoft Graph o integraciones de terceros, y rotar credenciales y claves de servicio con control de aprobaciones. Microsoft publica documentación sobre la Graph API que puede ayudar a los equipos a entender su uso legítimo y las formas de monitorizarlo (Microsoft Graph documentation).
En la red y en endpoints conviene implementar y afinar controles de egress: bloquear o inspeccionar conexiones a servicios de intercambio de archivos privados conocidos y a infraestructura de mensajería que no sea de uso corporativo, establecer listas blancas para aplicaciones críticas, y desplegar capacidades de detección de comportamiento que identifiquen ejecuciones atípicas de cmd.exe, inyección en procesos o binarios compilados en Go que realizan conexiones inusuales. Además, la fragmentación de la red y la segmentación de activos sensibles limitan el movimiento lateral incluso si se consigue una primera intrusión.
Para equipos de respuesta e inteligencia, es recomendable preservar y analizar artefactos (memoria, binarios, logs de aplicaciones colaborativas), compartir indicadores con el CSIRT nacional y con proveedores de seguridad, y considerar una revisión exhaustiva de cuentas creadas en servicios en la nube o email corporativo que no se hayan autorizado explícitamente. Si hay sospecha de compromiso, activar procedimientos de contención: aislamiento de sistemas afectados, recolección forense y revocación de credenciales comprometidas. La cooperación internacional y el intercambio de información con organizaciones como CERT nacionales y socios de inteligencia aumentan la capacidad de mitigar campañas transnacionales.
Finalmente, este incidente subraya una lección permanente: los atacantes preferirán rutas que mezclen ingeniería social, abuso de servicios legítimos y código difícil de analizar (como Go). La defensa efectiva exige una combinación de controles técnicos, vigilancia de plataformas colaborativas, gobernanza de identidades y una cultura organizativa que priorice la ciberhigiene y la respuesta rápida. Mantenerse informado con análisis técnicos y alertas públicas, y aplicar las recomendaciones básicas de segmentación, autenticación y monitorización, reduce considerablemente el riesgo de que campañas similares logren objetivos de espionaje o robo de información.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...