Siber güvenlikte dünya lideri olan ESET, Moğolistan’daki devlet kurumlarını gaye alan ve GopherWhisper olarak isimlendirilen, Çin ile irtibatlı yeni bir APT kümesi ortaya çıkardı. Küme, casusluk yapmak için Discord, Slack ve Outlook iletileşme hizmetlerini berbata kullanıyor.
ESET araştırmacıları, GopherWhisper ismini verdikleri, daha evvel kayıtlara geçmemiş, Çin ile irtibatlı bir APT kümesi keşfettiler. Küme, çoğunlukla Go lisanında yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli art kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu amaç aldı. GopherWhisper, komuta ve denetim (C&C) irtibatı ve data sızdırma emeliyle Discord, Slack, Microsoft 365 Outlook ve file.io üzere legal hizmetleri berbata kullanıyor.
ESET araştırmacıları bu kümesi Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha evvel belgelenmemiş bir art kapı bulduğunda keşfetti ve bu art kapıya LaxGopher ismini verdi. Daha derinlemesine araştırma yapan takım, birebir küme tarafından dağıtılan, çoğunlukla çeşitli ek art kapılar olmak üzere birkaç berbat maksatlı araç daha ortaya çıkardı. Bu araçların birden fazla Go lisanında yazılmıştı ve ortak hedefleri siber casusluktu.
ESET telemetrisine nazaran, GopherWhisper art kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini tahlil eden ESET, Moğolistan kurumunun yanı sıra onlarca öteki kurbanın da etkilendiğini kestirim ediyor; fakat bu kurbanların coğrafik pozisyonları yahut bölümleri hakkında rastgele bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü art kapı: Go lisanında yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ lisanında yazılmış SSLORDoor. Ayrıyeten ESET, bir enjektör (JabGopher), Go tabanlı bir bilgi sızdırma aracı (CompactGopher) ve makûs emelli bir DLL evrakı (FriendDelivery) buldu.
ESET’in tespit ettiği makus emelli yazılım kümesi, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve öbür hiçbir kümenin kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir kümeye atfediyor. Araştırmacılar, kümenin araçlarının birçoklarının maskotu bir gopher olan Go programlama lisanında yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll belge ismine dayanarak bu kümeye GopherWhisper ismini verdi.
Yeni tehdit kümesini keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C irtibatı için Slack, Discord ve Outlook üzere legal hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord iletisinin yanı sıra Microsoft Outlook’tan birkaç taslak e-posta bildirisini da elde etmeyi başardık. Bu, kümenin iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord iletilerinin vakit damgası incelemesi, bunların birçoklarının çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 ortasında gönderildiğini gösterdi. Ayrıyeten Slack meta bilgilerinde yapılandırılmış kullanıcının lokal ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir küme olduğuna inanıyoruz” dedi.
ESET’in bu araştırmasına nazaran, kümenin Slack ve Discord sunucuları birinci olarak art kapıların fonksiyonelliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher art kapıları için komuta ve denetim (C&C) sunucuları olarak kullanıldı. Slack ve Discord bağlantılarına ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends art kapısı ile C&C’si ortasındaki bağlantıda kullanılan e-posta iletilerini da çıkarabildiler.
ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
