Un nouvel acteur persistant aligné avec la Chine, à laquelle la société slovaque ESET a baptisé GopherWhisper, a mis l'accent sur les institutions gouvernementales en Mongolie en utilisant un ensemble d'outils qui n'ont pas encore été publiés et des techniques qui rendent la détection traditionnelle difficile. L'important n'est pas seulement le catalogue de logiciels malveillants - plusieurs composants développés dans Go et un backdoor en C + - mais la stratégie: les opérateurs abusent des services légitimes tels que Slack, Discord et Microsoft 365 pour leurs canaux de commande et d'exfiltration, et utilisent des services d'échange de fichiers publics pour extraire des données, ce qui complique les attributs et les blocages simples.
Selon la recherche partagée par ESET, la découverte initiale a eu lieu après l'identification d'une nouvelle porte dans un système gouvernemental en janvier 2025, et la télémétrie subséquente a montré une infection directe dans une douzaine d'équipes avec des indications de nombreuses autres victimes liées à Slack et Discord serveurs contrôlés par les attaquants. Les composants détectés (avec des noms tels que LaxGopher, RatGopher, CompactGopher, SSLORDoor, BoxOffAmis, FriendDelivery et JabGopher) présentent une architecture modulaire: Go moteurs pour la communication et la collecte de fichiers, une porte arrière C + + pour télécommande et des modules qui agissent comme chargeurs / injecteurs. Cette modularité permet au groupe d'adapter plus facilement ses outils à des objectifs spécifiques et à des tactiques de changement rapides.
Du point de vue opérationnel, il y a deux aspects qui méritent une attention particulière: premièrement, l'abus des plateformes d'affaires et de la messagerie pour C2 et l'exfiltration; deuxièmement, l'utilisation de schémas cryptographiques et la compression pour cacher les volumes de données volés. Les attaquants créent ou compromettent des comptes Outlook pour utiliser l'API Microsoft Graphh comme canal secret, utilisent des canaux Discord privés et des messages Slack pour donner des commandes, et téléversent des fichiers compressés et chiffrés aux services publics pour les sortir du réseau des victimes. Le calendrier des activités observé par les chercheurs, avec plus de trafic dans les heures de travail de China Standard Time, ajoute un élément tactique et géographique qui aide à contextualiser l'attribution.
Les implications politiques et sécuritaires sont claires : cibler les entités gouvernementales en Mongolie vise à l'espionnage stratégique (politique, défense, ressources naturelles et diplomatie) et à la collecte soutenue de renseignements. Pour les organisations et les administrations, l'affaire montre que le fait de ne s'appuyer que sur des règles qui bloquent les logiciels malveillants traditionnels n'est plus suffisant; les attaquants profitent d'outils et de services légitimes qui, par conception, ont généralement permis l'accès et des canaux chiffrés fondés sur la confiance.
En termes de détection et de réponse, la recommandation immédiate est d'augmenter la visibilité sur les canaux qui restent souvent hors de portée des SIEM ou des EDR: surveiller l'utilisation des API collaboratives (p. ex. Microsoft Graph), les modèles de création d'effaceurs ou d'envoi de courriels à partir de comptes inhabituels, et les téléchargements massifs ou récurrents vers des services d'échange de fichiers externes. Il est également essentiel d'examiner les registres Slack / Discord pour les messages d'activité automatisés ou programmés et de faire la corrélation avec l'activité des paramètres. L'ESET et les médias spécialisés ont couvert ce cas; il est utile de suivre l'analyse publique et les COI que les chercheurs partagent dans leurs canaux de recherche ( ESET Recherche, Les nouvelles Hacker).
Depuis la couche d'identité et d'accès, il y a des actions concrètes qui réduisent l'exposition: authentification multifacteurs Des mécanismes d'accès stricts et conditionnels dans des identités privilégiées, des permis de limitation et d'audit donnés aux applications utilisant Microsoft Graphh ou des intégrations de tiers, et rotation des pouvoirs et des clés de service avec contrôle d'approbation. Microsoft publie de la documentation sur le GraphAPI qui peut aider les équipes à comprendre leur utilisation légitime et comment la surveiller ( Microsoft Graphdocumentation).
Dans le réseau et dans les terminaux, il est approprié de mettre en œuvre et d'affiner les contrôles d'évacuation : bloquer ou inspecter les connexions aux services d'échange de fichiers privés connus et à l'infrastructure de messagerie autre que pour l'entreprise, établir des listes blanches pour les applications critiques et déployer des capacités de détection comportementale qui identifient les exécutions atypiques de cmd.exe, l'injection dans des processus ou des binaires compilés dans Go qui font des connexions inhabituelles. En outre, la fragmentation du réseau et la segmentation des actifs sensibles limitent les mouvements latéraux même si une première intrusion est réalisée.
Pour le matériel de réponse et de renseignement, il est recommandé de préserver et d'analyser des artefacts (mémoire, binaire, journal d'application collaboratif), de partager des indicateurs avec le CSIRT national et les fournisseurs de sécurité, et d'envisager un examen complet des comptes créés dans les services Cloud ou les courriels d'entreprise qui n'ont pas été explicitement autorisés. S'il y a soupçon d'engagement, activez les procédures de confinement : isolement des systèmes touchés, collecte médico-légale et révocation des titres de compétence. La coopération internationale et l'échange d'informations avec des organisations telles que le CERT national et les partenaires du renseignement renforcent la capacité d'atténuer les campagnes transnationales.
Enfin, cet incident met en lumière une leçon permanente : les agresseurs préféreront les itinéraires qui mêlent ingénierie sociale, abus de services légitimes et code difficile à analyser (comme Go). Une défense efficace exige une combinaison de contrôles techniques, de suivi des plateformes de collaboration, de gouvernance de l'identité et d'une culture organisationnelle qui privilégie la cyberhygiene et l'intervention rapide. Être informé de l'analyse technique et des alertes publiques, et mettre en œuvre les recommandations fondamentales de segmentation, d'authentification et de surveillance, réduit considérablement le risque que des campagnes similaires atteignent des objectifs d'espionnage ou de vol d'information.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...