Державні установи Монголії опинилися в центрі цілеспрямованої кібершпигунської кампанії, за якою стоїть раніше невідома китайськоорієнтована APT‑група GopherWhisper. Дослідники ESET виявили, що зловмисники будують довготривалий прихований доступ до урядових мереж, маскуючи шкідливу активність під легітимний трафік популярних хмарних сервісів.
Що таке GopherWhisper і чому ця APT‑кампанія небезпечна
APT (Advanced Persistent Threat) — це тривала, добре профінансована та цілеспрямована кібератака, за якою зазвичай стоять державні структури або великі угруповання, орієнтовані на стратегічне кібершпигунство, а не на швидку фінансову вигоду. GopherWhisper повністю відповідає цьому профілю: її цілі — державні органи, основна мета — збір розвідданих, а діяльність ретельно маскується.
Групу ідентифікували в січні 2025 року після виявлення раніше невідомого бекдора LaxGopher на одному з комп’ютерів монгольського держвідомства. Подальший аналіз телеметрії та інфраструктури показав, що це не одиничний зразок, а частина цілісної шпигунської платформи, розробленої для тривалого та непомітного контролю над мережами жертви.
Технічний профіль GopherWhisper: бекдори на Go та C++ і модульна архітектура
За даними ESET, GopherWhisper використовує широкий набір модульних інструментів, більшість з яких написано мовою Go (Golang). Такий вибір дозволяє швидко створювати кросплатформні шкідливі програми та ускладнює їх статичний аналіз: бінарні файли на Go зазвичай більші й менш очевидні для класичних сигнатурних механізмів захисту.
Інжектори, лоадери та бекдори на Go
У ланцюжку атаки зафіксовано інжектори та лоадери — компактні утиліти, що впроваджують код у легітимні процеси або завантажують основний бекдор без запису на диск. Це знижує ймовірність виявлення традиційними антивірусами, орієнтованими на файлові сканування.
Кілька сімейств бекдорів на Go забезпечують зв’язок із серверами командування та контролю (C2), збір системної інформації, виконання віддалених команд, керування файлами та пересилання зібраних даних назад зловмисникам через зашифровані канали.
Збір файлів і C++‑бекдор для повного контролю
Окремий модуль відповідає за цільовий збір файлів: він сканує систему в пошуках документів та інших потенційно цінних даних, архівує їх і готує до прихованого вивантаження.
Додатковий C++‑бекдор надає зловмисникам повноцінний віддалений доступ до зараженого хоста: керування файлами, запуск процесів, розгортання нових модулів. Такий комбінований підхід (Go + C++) підвищує гнучкість платформи й ускладнює її детекцію єдиним сигнатурним правилом.
Discord, Slack і Microsoft 365 Outlook як канали C2‑керування
Одна з ключових особливостей GopherWhisper — активне зловживання легітимними хмарними сервісами як каналами C2. Дослідники зафіксували використання:
- Discord та Slack — популярних комунікаційних платформ, поширених у бізнесі та держсекторі;
- Microsoft 365 Outlook — корпоративної пошти, яка часто має відкритий доступ у держустановах;
- file.io — сервісу для обміну файлами, що застосовується для прихованої ексфільтрації зібраних архівів.
Трафік до цих платформ, як правило, вважається «нормальним» і рідко блокується повністю. Бекдори GopherWhisper маскують свої запити під роботу легітимних застосунків, використовуючи вже наявні TLS‑зашифровані канали. У результаті класичні мережеві фільтри бачать лише звичайну взаємодію з популярними SaaS‑сервісами.
Масштаб інфікування та індикатори прив’язки до Китаю
Телеметрія ESET свідчить, що щонайменше 12 систем, які належать одному монгольському державному органу, були заражені бекдорами GopherWhisper. Аналіз активності C2‑каналів у Discord і Slack вказує на наявність і інших жертв, імовірно десятків цільових систем як у Монголії, так і поза її межами.
Первинний вектор проникнення поки не встановлено. Найімовірніші сценарії — фішингові листи, експлуатація відомих уразливостей у публічних сервісах або компрометація слабо захищених облікових записів. Подібні методи є типовими для сучасних APT‑кампаній кібершпигунства по всьому світу.
Ознаки китайської географічної прив’язки базуються на сукупності непрямих факторів: основна активність операторів у Slack та Discord припадала на інтервал між 8:00 та 17:00 за китайським стандартним часом, а локаль користувача в метаданих також відповідала цьому часовому поясу. Окремо такі індикатори не є доказом, однак у поєднанні з вибором цілей (сусідня держава) та використовуваною тактикою дослідники описують групу як China‑aligned.
Рекомендації: як посилити кібербезпеку державних і критичних організацій
Кампанія GopherWhisper демонструє, що периметрового захисту вже недостатньо, особливо коли зловмисники активно використовують легітимні хмарні сервіси та шифрування за замовчуванням. Для держорганів і критичної інфраструктури це сигнал до перегляду поточної стратегії безпеки.
Організаціям варто:
- Запровадити розширене журналювання та аналітику активності у SaaS‑сервісах (Slack, Teams, Discord, Microsoft 365) з фокусом на аномальні шаблони поведінки облікових записів та інтеграцій.
- Використовувати рішення класу EDR/XDR для виявлення підозрілих процесів, завантаження модулів у пам’ять і нетипових мережевих з’єднань навіть за умов зашифрованого трафіку.
- Сегментувати мережу та обмежувати вихід до зовнішніх сервісів, застосовуючи принцип мінімально необхідних привілеїв і чіткі політики обміну файлами.
- Регулярно проводити тренінги з кібергігієни та протидії фішингу, оскільки людський фактор залишається одним із головних векторів компрометації.
- Оперативно оновлювати операційні системи й застосунки, закриваючи відомі уразливості, особливо на публічно доступних серверах.
Історія з GopherWhisper підкреслює: кібершпигунство стає все більш непомітним, технічно складним і тісно пов’язаним із хмарними сервісами. Щоб не стати черговою «мовчазною» жертвою подібної APT‑кампанії, варто вже зараз інвестувати в моніторинг, оперативне реагування на інциденти та жорсткіший контроль каналів комунікації — від корпоративних месенджерів до публічних файлообмінників.
