中共最新APT被曝用合法服务器攻击海外机构

斯洛伐克国际互联网安全软件公司ESET研究人员发现一个全新的与中共有关的高级持续性威胁（Advanced Persistent Threat， APT）—GopherWhisper，利用Discord、Slack、Microsoft 365 Outlook 和 file.io等合法服务器，进行命令与控制（C&C）通信和数据窃取。

进行网络间谍活动

研究人员称，这个APT自 2023 年 11 月起至少一直活跃至今，通过对聊天记录和电子邮件的时间戳进行检查，发现该黑客组织是在中国境内运作。

研究人员还透露，这个APT此前从未被发现和记录过，拥有多个恶意工具，这些工具大多用 Go 语言编写，利用注入器和加载器部署和执行工具库中的各种后门，进行网络间谍活动。

2025年1月，研究人员在蒙古一个政府机构系统中发现一个此前未被记录的后门，将其命名为LaxGopher，深入调查后研究人员发现更多恶意工具。LaxGopher 后门使用 Slack 进行 C&C 通信，通过命令行执行命令、窃取受害者数据，并在受感染的机器上获取并执行其它有效载荷。

通过分析攻击者运营的 Discord 和 Slack 服务器的 C&C 通信流量，ESET 估计除这家蒙古政府机构外，可能还有几十家其它机构也成为攻击目标。

被发现的七种工具中，有四种是后门程序，分别是用 Go 语言编写的 LaxGopher、RatGopher 和 BoxOfFriends，以及用 C++ 编写的 SSLORDoor。此外，ESET 还发现了一个注入器（JabGopher）、一个基于 Go 语言的数据窃取堡具（CompactGopher）和一个恶意 DLL 文件（FriendDelivery）。

由于ESET 发现的这组恶意软件与目前任何已知威胁行为者的工具，在代码上均无相似之处，且使用的战术、技术和程序（TTP）也与其它任何组织均无重叠，ESET 将其归入一个新的类别。

从中国境内运作

发现GopherWhisper的ESET 研究员埃里克?霍华德（Eric Howard）透露，调查过程中，研究人员成功提取了数千条 Slack 和 Discord 消息，以及一些Microsoft Outlook 邮件草稿，从而对其内部运作有了更深入的了解。

霍华德解释说，检查Slack 和 Discord 消息时间戳后，发现大部分消息都是在上午8点至下午5点之间的工作时间发送，与中国标准时间一致。此外，Slack 元数据中配置的用户地区也设置为中国时区，团队因此认定GopherWhisper 与中共有关。

ESET 调查还发现，该组织的 Slack 和 Discord 服务器最初被用来测试后门功能，随后在未清除日志的情况下，又被用作 LaxGopher 和 RatGopher 后门在多台受感染机器上的 C&C 服务器。除Slack 和 Discord 通信记录外，研究人员还利用 Microsoft Graph API 提取了 BoxOfFriends 后门与其 C&C 服务器之间通信的电子邮件。