ESET revelou uma campanha sustentada contra entidades governamentais que introduz um ator novo, batizado como GopherWhisper, e cujo traço distintivo não é apenas sua origem e objetivos, mas a maneira como combina malware personalizado escrito majoritariamente em Go com plataformas legítimas de colaboração - Microsoft 365 Outlook (via Microsoft Graph), Slack e Discord— para seus canais de comando e controle (C2). Pode parecer uma variação mais das técnicas que abusam de serviços na nuvem, mas a mistura de backdoors Go, injetores que persistem em processos do sistema e o uso de serviços públicos de troca de arquivos converte esta operação numa ameaça relevante para administrações públicas e organizações com dados sensíveis.
De uma perspectiva técnica, o conjunto de ferramentas descoberto inclui componentes como um backdoor principal escrito em Go (LaxGopher) que consulta comandos de um servidor privado do Slack, outro backdoor que usa o Discord (RatGopher), um que manipula rascunhos de correio no Outlook através da Microsoft Graph API(BoxOfFriends), loaders/injectores que escondem payloads em processos genuínos (JabGopher, FriendDelivery) e uma utilidade de exfiltração (CompactGopher) que comprime dados e os sobe a serviços como file.io. Também foi identificado um backdoor em C++ que usa o OpenSSL sobre sockets crus (SSLORDoor), o que demonstra a variedade técnica e a intenção de persistência e extracção de dados.
Um achado chave do relatório é a presença de credenciais incorporadas nos binários Go, as quais permitiram aos pesquisadores recuperar histórias completas de comunicação C2: milhares de mensagens no Slack e Discord, arquivos subidos e ordens emitidas. A análise de marcas de tempo e metadados aponta para um padrão de atividade durante horas de trabalho compatíveis com o fuso horário UTC+8 e metadados que sugerem configuração em chinês (locale zh-CN), dados que reforçaram a atribuição para um ator com apoio estatal e provável base operacional nessa região.
As implicações práticas são múltiplas. Primeiro, confiar na legitimidade de uma plataforma externa já não é um critério de segurança: os serviços de colaboração podem atuar como túneis legítimos para instruções maliciosas e para mover dados sem levantar os alertas padrão de tráfego C2. Segundo, o uso de binários escritos em Go dificulta a detecção estática tradicional porque os executáveis de Go costumam ser grandes e auto-incluintes, o que complica a identificação baseada em assinaturas simples. Terceiro, as credenciais embebidas e o abuso de APIs legítimas aumentam o custo da pesquisa forense e da resposta, pois o adversário reutiliza caminhos de comunicação que parecem tráfego legítimo.
Para defensores e responsáveis pela segurança, há medidas concretas e urgentes que reduzem a superfície da exposição. Auditar e revogar tokens e aplicações OAuth/consent na Microsoft 365, Slack e Discord deve ser prioritário; revisar integrações que tenham permissões amplas sobre buzones ou canais, e limitar o uso de rascunhos como canal de automando são passos imediatos. Em ambientes Microsoft, ativar políticas de acesso condicional, exigir MFA para contas com permissões de API e ativar registros e retenção estendida para logs da Microsoft Graph aumentam a visibilidade diante de abusos furtivos da plataforma.
Em endpoints e rede convém reforçar a telemetria focada em binários Go e padrões de comportamento: monitorar processos que injetam código em svchost.exe, detectar DLLs incomuns que atuam como loaders, e aplicar regras de bloqueio ou alertas para conexões salientes para serviços de troca de arquivos públicos (como file.io) ou para domínios/controladores associados às IoC publicadas. A inspeção TLS e a filtragem de egress por reputação podem ajudar, embora necessitem de balancear privacidade e desempenho em redes governamentais.
O intelligence partilhado e a resposta coordenada são essenciais. O ESET publicou um relatório técnico com detalhes e um repositório com indicadores de compromisso que as equipes de defesa podem integrar em seus sistemas de detecção e hunting; recomenda-se a incorporação em SIEM, EDR e listas de bloqueio. Você pode ler a análise do ESET em seu blog e baixar o relatório técnico de seus recursos oficiais: ESET — GopherWhisper: análise e ESET — Relatório Técnico (PDF). Também estão disponíveis indicadores no repositório público: IoC GopherWhisper no GitHub.
Para os decisores políticos e o cumprimento, este caso sublinha a necessidade de regulamentos e contratos que obriguem a manter registos de auditoria acessíveis e a cooperar com incident response, além da importância de planos de continuidade que contemplem a exfiltração a serviços públicos. As organizações que gerem informações estatais ou estratégicas devem tratar as integrações de terceiros com o mesmo rigor que o código próprio, aplicando princípios de mínimo privilégio, revisão contínua e testes de segurança.
Finalmente, para equipamentos de segurança operacional: projetarem exercícios de hunting que incluam buscas por padrões de atividade no Slack/Discord que não correspondam ao uso legítimo, por modificação de rascunhos em caixas de correio e por processos Go inesperados. Habiliten e retenham logs suficientes para reconstruir cadeias de ataque e coordenem com fornecedores de nuvem e plataformas de colaboração para acelerar a contenção. A sofisticação técnica de GopherWhisper mostra que as ameaças estatais estão adaptando táticas à infraestrutura colaborativa global; a defesa requer combinação de controles técnicos, visibilidade reforçada e colaboração entre setor público, privado e fornecedores de serviços.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...