Siber güvenlikte dünya lideri olan ESET, Moğolistan’daki devlet kurumlarını gaye alan ve GopherWhisper olarak isimlendirilen, Çin ile temaslı yeni bir APT kümesi ortaya çıkardı. Küme, casusluk yapmak için Discord, Slack ve Outlook iletileşme hizmetlerini berbata kullanıyor.
ESET araştırmacıları, GopherWhisper ismini verdikleri, daha evvel kayıtlara geçmemiş, Çin ile ilişkili bir APT kümesi keşfettiler. Küme, çoğunlukla Go lisanında yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli art kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu amaç aldı. GopherWhisper, komuta ve denetim (C&C) bağlantısı ve data sızdırma hedefiyle Discord, Slack, Microsoft 365 Outlook ve file.io üzere yasal hizmetleri berbata kullanıyor.
ESET araştırmacıları bu kümesi Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha evvel belgelenmemiş bir art kapı bulduğunda keşfetti ve bu art kapıya LaxGopher ismini verdi. Daha derinlemesine araştırma yapan takım, tıpkı küme tarafından dağıtılan, çoğunlukla çeşitli ek art kapılar olmak üzere birkaç berbat gayeli araç daha ortaya çıkardı. Bu araçların birden fazla Go lisanında yazılmıştı ve ortak emelleri siber casusluktu.
ESET telemetrisine nazaran, GopherWhisper art kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini tahlil eden ESET, Moğolistan kurumunun yanı sıra onlarca diğer kurbanın da etkilendiğini varsayım ediyor; lakin bu kurbanların coğrafik pozisyonları yahut bölümleri hakkında rastgele bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü art kapı: Go lisanında yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ lisanında yazılmış SSLORDoor. Ayrıyeten ESET, bir enjektör (JabGopher), Go tabanlı bir bilgi sızdırma aracı (CompactGopher) ve makus emelli bir DLL belgesi (FriendDelivery) buldu.
ESET’in tespit ettiği makus hedefli yazılım kümesi, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve diğer hiçbir kümenin kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir kümeye atfediyor. Araştırmacılar, kümenin araçlarının birçoklarının maskotu bir gopher olan Go programlama lisanında yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll belge ismine dayanarak bu kümeye GopherWhisper ismini verdi.
Yeni tehdit kümesini keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C bağlantısı için Slack, Discord ve Outlook üzere legal hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord bildirisinin yanı sıra Microsoft Outlook’tan birkaç taslak e-posta bildirisini da elde etmeyi başardık. Bu, kümenin iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord iletilerinin vakit damgası incelemesi, bunların birçoklarının çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 ortasında gönderildiğini gösterdi. Ayrıyeten Slack meta bilgilerinde yapılandırılmış kullanıcının mahallî ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir küme olduğuna inanıyoruz” dedi.
ESET’in bu araştırmasına nazaran, kümenin Slack ve Discord sunucuları birinci olarak art kapıların fonksiyonelliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher art kapıları için komuta ve denetim (C&C) sunucuları olarak kullanıldı. Slack ve Discord irtibatlarına ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends art kapısı ile C&C’si ortasındaki bağlantıda kullanılan e-posta iletilerini da çıkarabildiler.
ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
