Nhóm APT GopherWhisper liên kết Trung Quốc lợi dụng dịch vụ hợp pháp để tấn công chính phủ

Nhóm APT GopherWhisper liên kết Trung Quốc lợi dụng dịch vụ hợp pháp để tấn công chính phủ

Một nhóm mối đe dọa tiên tiến (APT) mới vừa được phát hiện đang sử dụng các dịch vụ hợp pháp để giao tiếp chỉ huy và kiểm soát (C&C) cũng như exfiltrate dữ liệu, theo cảnh báo từ các chuyên gia bảo mật tại ESET.

Hacker liên quan đến Trung Quốc

Được theo dõi dưới tên gọi GopherWhisper, nhóm hacker này hoạt động ít nhất từ tháng 11 năm 2023 và có nguồn gốc từ Trung Quốc, dựa trên việc kiểm tra thời gian trong các tin nhắn chat và email của chúng. Nhóm này nổi lên vào tháng 1 năm 2025 trong quá trình điều tra một backdoor dựa trên ngôn ngữ Go được tìm thấy trên hệ thống của một cơ quan chính phủ tại Mông Cổ.

Bộ công cụ độc hại đa dạng

Cuộc điều tra đã dẫn đến việc xác định nhiều backdoor, trình tải (loader) và chương trình tiêm (injector) tùy chỉnh khác nhau liên quan đến nhóm này.

Một trong những công cụ chính là LaxGopher, một backdoor sử dụng nền tảng Slack để giao tiếp C&C. Nó có khả năng thực thi lệnh thông qua command prompt, đánh cắp dữ liệu của nạn nhân và tải xuống cũng như thực thi các payload bổ sung trên máy bị nhiễm. ESET cho biết GopherWhisper chủ yếu sử dụng LaxGopher để liệt kê các ổ đĩa và tệp tin.

Để ẩn mình, nhóm này sử dụng một injector tên là JabGopher để thực thi backdoor trong bộ nhớ của một phiên bản svchost.exe mới được tạo ra.

Một công cụ khác mà LaxGopher có thể triển khai là CompactGopher - một bộ thu thập tệp tin viết bằng ngôn ngữ Go. Công cụ này có thể nén tệp từ dòng lệnh và gửi chúng đến dịch vụ chia sẻ tệp file.io thông qua API REST công khai.

Trong kho vũ khí của GopherWhisper còn có RatGopher, một backdoor khác cũng viết bằng Go. Tuy nhiên, thay vì dùng Slack, RatGopher sử dụng Discord cho giao tiếp C&C. Nó có thể mở các phiên bản command prompt mới và tải lên hoặc tải xuống tệp từ file.io.

Ngoài ra, nhóm APT này còn sử dụng một backdoor viết bằng C++ gọi là SSLORDoor, sử dụng OpenSSL BIO để giao tiếp qua các socket TCP thô. Malware này có thể tạo ra quy trình command prompt ẩn, liệt kê ổ đĩa, thực thi các lệnh thao tác tệp và tạo các kết nối socket mới.

Kỹ thuật tấn công tinh vi

ESET cũng phát hiện thêm hai công cụ khác mà GopherWhisper triển khai chống lại cùng một tổ chức chính phủ Mông Cổ, bao gồm backdoor BoxOfFriends (dựa trên Go) sử dụng Microsoft Graph API để giao tiếp qua các thư nháp (draft messages) của Outlook, và injector DLL FriendDelivery dùng để tải nó.

Backdoor BoxOfFriends có khả năng exfiltrate tệp, thao tác cổng và thực thi các lệnh được cung cấp thông qua một shell được mở trên máy chủ.

Theo ESET, nhóm APT liên kết với Trung Quốc này đã nhiễm độc khoảng 12 hệ thống trong tổ chức chính phủ tại Mông Cổ. Các chuyên gia cho rằng có thể có hàng chục nạn nhân khác cũng bị nhắm mục tiêu.

"Do thiếu sự tương đồng về mã, TTPs (Chiến thuật, Kỹ thuật và Quy trình) và mục tiêu nhắm đến với bất kỳ nhóm APT hiện có nào, chúng tôi đã tạo ra GopherWhisper như một nhóm mới và quy bộ công cụ được mô tả cho nhóm này," ESET lưu ý.

Sự xuất hiện của GopherWhisper cho thấy xu hướng ngày càng tăng của các nhóm hacker quốc gia sử dụng các dịch vụ web hợp pháp và phổ biến để ẩn dấu hoạt động độc hại, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn đối với các hệ thống bảo mật truyền thống.