Siber güvenlik kuruluşu ESET, Moğolistan'daki kamu kurumlarını hedef alan ve GopherWhisper olarak adlandırılan yeni bir siber tehdit grubu tespit etti. Yapılan teknik incelemeler, bu grubun operasyonlarında popüler mesajlaşma ve bulut hizmetlerini kötüye kullandığını gösteriyor. Araştırmacılar, grubun çalışma saatlerini ve kullandığı altyapıyı analiz ederek operasyonun Çin merkezli olabileceği sonucuna vardı.
GopherWhisper grubu, klasik yöntemlerin dışına çıkarak iletişim trafiğini gizlemek için Discord, Slack ve Microsoft 365 Outlook gibi platformlardan yararlanıyor. Bu yöntem, kötü amaçlı yazılımların ağ trafiği içinde fark edilmesini zorlaştırıyor. ESET araştırmacıları, grubun ele geçirdiği sistemlerde veri sızdırmak ve komut göndermek amacıyla bu servisler üzerinden binlerce mesaj gönderdiğini belirledi. Ocak 2025'te Moğolistan'daki bir devlet kurumunda rastlanan LaxGopher adlı arka kapı yazılımı, bu geniş kapsamlı casusluk ağının ilk ipucu oldu.
Saldırganlar, araçlarının büyük bir kısmını Go programlama diliyle geliştiriyor. Grubun cephaneliğinde LaxGopher dışında RatGopher, BoxOfFriends ve SSLORDoor gibi farklı işlevlere sahip casusluk yazılımları yer alıyor. Analiz edilen veriler, saldırganların sadece Moğolistan'da değil, farklı sektörlerden onlarca başka kurbanı da hedef almış olabileceğine işaret etti.
Operasyon izleri Çin saat dilimini işaret ediyor
ESET bünyesinde çalışan araştırmacı Eric Howard, grubun çalışma sistematiğine dair önemli detaylar paylaştı. Botconf 2026 konferansında sunulan bulgulara göre, Slack ve Discord üzerinden iletilen mesajların zaman damgaları Çin Standart Saati ile tam uyum sergiliyor. Mesaj trafiğinin sabah 08:00 ile akşam 17:00 saatleri arasında yoğunlaşması, profesyonel bir çalışma düzenini yansıtıyor.
Grup, sistemlere sızdıktan sonra Microsoft Graph API kullanarak Outlook taslak e-postaları üzerinden veri alışverişi gerçekleştiriyor. Mevcut hiçbir siber tehdit aktörünün teknikleriyle örtüşmeyen bu yeni yapı, siber güvenlik dünyasında GopherWhisper ismiyle takip edilmeye başlandı.