ESET a révélé une campagne soutenue contre les entités gouvernementales qui présentent un nouvel acteur, baptisé GopherWhisper, et dont la caractéristique distinctive n'est pas seulement son origine et ses objectifs, mais la façon dont il combine des logiciels malveillants personnalisés écrits principalement en Go avec des plateformes collaboratives légitimes - Microsoft 365 Outlook (via Microsoft Graphh), Slack et Discord - pour ses canaux de contrôle et de contrôle (C2). Il peut sembler comme une autre variation dans les techniques qui abusent des services cloud, mais le mélange de backdoors Aller, les injecteurs qui persistent dans les processus du système et l'utilisation des services d'échange de fichiers publics font de cette opération une menace pertinente pour les administrations publiques et les organisations avec des données sensibles.
D'un point de vue technique, la boîte à outils découverte comprend des composants tels qu'une porte arrière principale écrite dans Go (LaxGopher) qui consulte les commandes d'un serveur privé Slack, une autre porte arrière qui utilise Discord (RatGopher), une qui manipule les gommes de courrier dans Outlook Microsoft GraphAPI(BoxOffFriends), pilotes / injecteurs qui cachent les charges utiles dans les processus authentiques (JabGopher, FriendDelivery) et un utilitaire d'exfiltration (CompactGopher) qui compresse les données et les télécharge vers des services comme file.i. Un C + + + backdoor a également été identifié en utilisant OpenSSL sur des sockets bruts (SSLORDoor), ce qui démontre la variété technique et l'intention de la persistance et de l'extraction des données.
L'une des principales conclusions du rapport est la présence d'identifications intégrées dans les binaires Go, qui ont permis aux chercheurs de récupérer C2 complet: des milliers de messages dans Slack et Discord, des fichiers téléchargés et des ordres émis. L'analyse des temps et des métadonnées indique un schéma d'activité pendant les heures de travail compatible avec le fuseau horaire UTC + 8 et des métadonnées qui suggèrent la configuration chinoise (locale zh-CN), des données qui ont renforcé l'attribution à un acteur avec le soutien de l'État et la base opérationnelle probable dans cette région.
Les implications pratiques sont multiples. Premièrement, s'appuyer sur la légitimité d'une plateforme externe n'est plus un critère de sécurité : les services collaboratifs peuvent agir comme des tunnels légitimes pour des instructions malveillantes et pour déplacer des données sans lever les alertes de circulation standard C2. Deuxièmement, l'utilisation de binaires écrits dans Go rend difficile la détection statique traditionnelle parce que les exécutables de Go sont souvent grands et auto-inclus, ce qui complique l'identification basée sur des signatures simples. Troisièmement, l'abus de compétences et l'abus d'API légitimes augmentent le coût des enquêtes et des interventions médico-légales, car l'opposant réutilise des voies de communication qui semblent être un trafic légitime.
Pour les défenseurs et les responsables de la sécurité, il existe des mesures concrètes et urgentes qui réduisent la zone d'exposition. L'audit et la révocation des jetons et des applications OAuth / composées de Microsoft 365, Slack et Discord devraient être une priorité; examiner les intégrations qui ont des permissions étendues sur les boîtes aux lettres ou les canaux, et limiter l'utilisation des gommes en tant que canal automatisant sont des étapes immédiates. Dans les environnements Microsoft, activer les politiques d'accès conditionnel, exiger MFA pour les permissions d'API et activer les enregistrements et la rétention étendue pour Microsoft Graphh métiers augmentent la visibilité à la plate-forme furtive abus.
Dans les terminaux et le réseau, il convient de renforcer la télémétrie axée sur les binaires Go et les modèles de comportement : surveiller les processus qui injectent du code dans svchost.exe, détecter les DL inhabituels qui agissent comme chargeurs, et appliquer des règles de verrouillage ou des alertes pour les connexions sortantes aux services d'échange de fichiers publics (comme fili.io) ou aux domaines / contrôleurs associés à l'IoC publié.
Un renseignement partagé et une réponse coordonnée sont essentiels. ESET a publié un rapport technique avec des détails et un référentiel avec des indicateurs d'engagement que les équipes de défense peuvent intégrer dans leurs systèmes de détection et de chasse; il est recommandé de les intégrer dans les listes CIEM, EDR et écluses. Vous pouvez lire l'analyse ESET sur votre blog et télécharger le rapport technique de vos ressources officielles: ESET - GopherWhisper: analyse et ESET - Rapport technique (PDF). Des indicateurs sont également disponibles dans le dépôt public: GotherWhisper IoC à GitHub.
Pour ce qui est des décideurs et de la conformité, ce cas souligne la nécessité d'établir des règlements et des contrats qui exigent l'accessibilité des dossiers de vérification et la coopération avec l'intervention en cas d'incident, en plus de l'importance des plans de continuité qui prévoient l'exfiltration des services publics. Les organisations qui traitent l'information sur l'état ou l'information stratégique devraient traiter l'intégration de tiers avec la même rigueur que le code lui-même, en appliquant des principes de privilège minimum, d'examen continu et de tests de sécurité.
Enfin, pour l'équipement de sécurité opérationnel: concevoir des exercices de naufrage qui incluent des recherches de modèles d'activité dans Slack / Discord qui ne correspondent pas à une utilisation légitime, pour la modification des gommes dans les boîtes de courrier et pour des processus de go inattendus. Permettre et conserver suffisamment de journaux pour reconstruire les chaînes d'attaque et coordonner avec les fournisseurs de cloud et les plateformes de collaboration pour accélérer le confinement. La sophistication technique de GopherWhisper montre que les menaces d'État adaptent les tactiques à l'infrastructure collaborative mondiale; la défense nécessite une combinaison de contrôles techniques, une visibilité accrue et une collaboration entre les fournisseurs de services publics, privés et de services.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...