Um novo ator persistente alinhado com a China, ao qual a assinatura eslovaca ESET nomeou como GopherWhisper, focou sua atividade em instituições governamentais da Mongólia empregando um conjunto de ferramentas inéditas até agora e técnicas que dificultam a detecção tradicional. O relevante não é apenas o catálogo de malware - componentes desenvolvidos em Go e um backdoor em C++ - mas a estratégia: os operadores abusam de serviços legítimos como Slack, Discord e Microsoft 365 para seus canais de comando e exfiltração, e usam serviços públicos de troca de arquivos para tirar dados, o que complica atribuições e bloqueios simples.
Segundo a pesquisa compartilhada pela ESET, a descoberta inicial ocorreu após identificar um backdoor novo em um sistema governamental em janeiro de 2025, e a telemetria posterior mostrou uma infecção direta em torno de uma dúzia de equipamentos com indícios de muitas outras vítimas ligadas a servidores do Slack e Discord controlados pelos atacantes. Os componentes detectados (com nomes como LaxGopher, RatGopher, CompactGopher, SSLORDoor, BoxOfFriends, FriendDelivery e JabGopher) mostram uma arquitetura modular: motores em Go para comunicação e coleta de arquivos, um backdoor em C++ para controle remoto e módulos que atuam como loaders/injectores. Esta modularidade facilita que o grupo adapte suas ferramentas a objetivos concretos e mudem táticas rapidamente.
Do ponto de vista operacional, há dois aspectos que merecem especial atenção: primeiro, o abuso de plataformas empresariais e de mensagens para C2 e exfiltração; segundo, o uso de esquemas criptográficos e compressão para ocultar volumes de dados roubados. Os atacantes criam ou comprometem as contas do Outlook para usar a API da Microsoft Graph como canal encoberto, usam canais privados de Discord e mensagens do Slack para dar ordens, e suben arquivos comprimidos e criptografados a serviços públicos para removê-los da rede vítima. O padrão temporário de atividade observado pelos pesquisadores, com maior tráfego no horário de trabalho da China Standard Time, acrescenta um elemento táctico e geográfico que ajuda a contextualizar a atribuição.
As implicações políticas e de segurança são claras: targeting contra entidades governamentais na Mongólia aponta a espionagem estratégica (política, defesa, recursos naturais e diplomacia) e a recolha sustentada de inteligência. Para as organizações e administrações, o caso demonstra que confiar apenas em regras que blokéan malware tradicional já não é suficiente; os atacantes aproveitam ferramentas e serviços legítimos que, por design, costumam ter acesso permitido e canais criptografados de confiança.
Em termos de detecção e resposta, a recomendação imediata é elevar a visibilidade sobre canais que muitas vezes permanecem fora do alcance de SIEMs ou EDRs: monitorar o uso de APIs de colaboração (por exemplo, Microsoft Graph), padrões de criação de rascunhos ou envio de e-mails a partir de contas invulgares, e aumentos em massa ou recorrentes a serviços externos de troca de arquivos. Também é crítico rever logs do Slack/Discord para atividade automatizada ou mensagens agendadas e correlacionar com atividade em endpoints. ESET e meios especializados têm coberto este caso; é útil seguir a análise pública e as IOCs que os pesquisadores compartilhem em seus canais de pesquisa ( ESET Research, The Hacker News).
Desde a camada de identidade e acesso, há ações concretas que reduzem a exposição: aplicar autenticação multifator forte e mecanismos de acesso condicional em identidades privilegiadas, limitar e auditar licenças concedidas a aplicativos que usam Microsoft Graph ou integrações de terceiros, e rotar credenciais e chaves de serviço com controle de aprobações. A Microsoft publica documentação sobre a Graph API que pode ajudar as equipes a entender seu uso legítimo e as formas de o monitorizar ( Microsoft Graph documentation).
Na rede e no endpoints, é conveniente implementar e afinar os controlos de egress: bloquear ou inspecionar ligações a serviços de intercâmbio de ficheiros privados conhecidos e infra-estruturas de mensagens que não sejam de uso corporativo, estabelecer listas brancas para aplicações críticas e implantar capacidades de detecção de comportamento que identifiquem execuções atípicas de cmd.exe, injeção em processos ou binários compilados em Go que realizam conexões invulgares. Além disso, a fragmentação da rede e a segmentação de ativos sensíveis limitam o movimento lateral mesmo que se obtenha uma primeira intrusão.
Para equipamentos de resposta e inteligência, é recomendável preservar e analisar artefatos (memoria, binários, logs de aplicativos colaborativos), compartilhar indicadores com o CSIRT nacional e com provedores de segurança, e considerar uma revisão exaustiva de contas criadas em serviços em nuvem ou e-mail corporativo que não tenham sido expressamente autorizados. Se houver suspeita de compromisso, ativar procedimentos de contenção: isolamento de sistemas afetados, coleta forense e revogação de credenciais comprometidas. A cooperação internacional e o intercâmbio de informações com organizações como a CERT nacionais e parceiros de inteligência aumentam a capacidade de mitigar campanhas transnacionais.
Finalmente, este incidente sublinha uma lição permanente: os atacantes preferirão rotas que mezclen engenharia social, abuso de serviços legítimos e código difícil de analisar (como Go). A defesa eficaz exige uma combinação de controlos técnicos, vigilância de plataformas colaborativas, governação de identidades e uma cultura organizacional que priorize a ciber-higiene e a resposta rápida. Manter-se informado com análises técnicas e alertas públicos e aplicar as recomendações básicas de segmentação, autenticação e monitoramento, reduz consideravelmente o risco de campanhas semelhantes atingirem objetivos de espionagem ou roubo de informações.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...