Organismos gubernamentales de Mongolia han sido víctimas de una nueva APT (Advanced Persistent Threat) orientada a intereses chinos, bautizada como GopherWhisper. Según investigación de ESET, la campaña se centra en el ciberespionaje de largo plazo y combina backdoors escritos principalmente en Go (Golang) con una infraestructura de mando y control basada en servicios cloud ampliamente utilizados como Discord, Slack y Microsoft 365 Outlook.
GopherWhisper: una APT de ciberespionaje dirigida a organismos estatales
El término APT describe operaciones de intrusión sostenidas, discretas y bien financiadas, típicamente asociadas a actores estatales o grupos estrechamente alineados con ellos. GopherWhisper encaja en este perfil: se dirige a redes gubernamentales, prioriza el robo de información sensible y se apoya en técnicas de ocultación avanzadas para mantener acceso persistente.
La actividad del grupo salió a la luz en enero de 2025, tras detectarse un backdoor desconocido denominado LaxGopher en un equipo de un organismo público de Mongolia. El análisis posterior de la infraestructura y la telemetría reveló que no se trataba de una infección aislada, sino de una plataforma de ciberespionaje bien estructurada, diseñada para permanecer durante meses o años dentro de las redes comprometidas.
Arsenal malicioso: backdoors en Go y C++ y enfoque modular
ESET documenta un conjunto amplio y modular de herramientas, con predominio de binarios en Go. El uso de Golang permite desarrollar utilidades multiplataforma con rapidez y complica el análisis estático: los ejecutables suelen ser voluminosos, con estructuras internas menos familiares para muchos motores antivirus tradicionales.
El toolkit de GopherWhisper incluye, entre otros componentes:
- Inyectores y loaders en memoria, encargados de introducir el código malicioso en procesos legítimos o cargar los módulos en RAM sin escribirlos en disco, reduciendo la probabilidad de detección basada en archivos.
- Varias familias de backdoors en Go, que se conectan a servidores de mando y control (C2), ejecutan órdenes en la máquina comprometida, recogen información del sistema y gestionan archivos.
- Un módulo dedicado a la recolección de documentos, orientado a localizar ficheros de interés, agruparlos (por ejemplo, en archivos comprimidos) y prepararlos para su exfiltración encubierta.
- Un backdoor adicional en C++, con capacidades completas de administración remota del host, lo que incluye manipulación de archivos, ejecución de procesos y despliegue de nuevos módulos.
Discord, Slack y Microsoft 365 Outlook como canales C2 encubiertos
Una de las características más significativas de esta APT es su uso intensivo de servicios cloud legítimos como infraestructura de C2. GopherWhisper se apoya en:
- Discord y Slack como canales de comunicación encubiertos para enviar comandos y recibir resultados.
- Microsoft 365 Outlook para intercambiar instrucciones y datos a través de correo electrónico corporativo, muy extendido en entornos gubernamentales.
- file.io como plataforma de intercambio de archivos para la exfiltración de información robada.
El tráfico hacia estas plataformas normalmente se considera legítimo y difícilmente se bloquea por completo, lo que proporciona a los atacantes una excelente cobertura. Los módulos maliciosos de GopherWhisper encapsulan sus comunicaciones dentro de canales cifrados y flujos que imitan la actividad normal de usuarios y aplicaciones SaaS, una táctica que viene siendo observada también en otros informes públicos de ciberseguridad sobre APTs que abusan de servicios cloud.
Alcance conocido del ataque y posible alineación con intereses chinos
La telemetría de ESET confirma la infección de al menos 12 sistemas pertenecientes a un mismo organismo gubernamental de Mongolia. El análisis de las conexiones C2 a través de Discord y Slack sugiere que existen más víctimas, potencialmente decenas de sistemas adicionales dentro y fuera del país.
El vector inicial de compromiso sigue sin esclarecerse. No obstante, se consideran probables campañas de phishing dirigido, explotación de vulnerabilidades en servicios expuestos a Internet o abuso de credenciales con protección insuficiente, en línea con los métodos habituales utilizados por grupos de ciberespionaje a escala global.
La atribución hacia un actor alineado con intereses chinos se basa en varios indicios técnicos: la mayor parte de la actividad observada en los canales de Slack y Discord se concentra entre las 8:00 y las 17:00 según la hora estándar de China, y la configuración regional de los entornos analizados coincide con esa zona horaria. Si bien estos factores no constituyen una prueba definitiva, sumados a la elección de objetivos (un país vecino de China) y a las tácticas empleadas, refuerzan la hipótesis de una APT de probable origen o alineación china.
Lecciones de ciberseguridad y recomendaciones para organizaciones públicas y privadas
El caso GopherWhisper demuestra que las defensas perimetrales clásicas ya no son suficientes, especialmente frente a adversarios que se ocultan en tráfico cifrado y servicios SaaS ampliamente permitidos. Resulta imprescindible adoptar enfoques de seguridad basados en visibilidad profunda y detección de comportamiento.
- Monitorizar exhaustivamente la actividad en servicios SaaS (Slack, Teams, Discord, Microsoft 365), con registros detallados y análisis de anomalías en inicios de sesión, uso de APIs y patrones de intercambio de archivos.
- Desplegar soluciones EDR/XDR capaces de identificar carga de módulos en memoria, inyección en procesos legítimos y conexiones de red sospechosas, incluso cuando el contenido del tráfico está cifrado.
- Aplicar el principio de mínimo privilegio, segmentar la red y limitar los destinos externos autorizados, con reglas estrictas para el uso de servicios de compartición de archivos.
- Realizar formación continua en ciberhigiene y reconocimiento de phishing, dado que el factor humano continúa siendo uno de los principales vectores de entrada para las APT.
- Mantener una gestión rigurosa de parches y vulnerabilidades, priorizando sistemas expuestos a Internet y servicios críticos.
La operación de GopherWhisper ilustra cómo el ciberespionaje moderno combina malware modular, abuso de plataformas cloud legítimas y técnicas de ocultación cada vez más sofisticadas. Para reducir el riesgo de convertirse en la próxima víctima silenciosa de una campaña APT, resulta clave revisar la estrategia de ciberseguridad, fortalecer la protección de canales de comunicación y mejorar el control sobre el acceso a servicios en la nube, avanzando hacia modelos de seguridad de confianza cero y de monitorización continua.
