Компанія ESET виявила раніше невідоме кіберугруповання GopherWhisper, яке діє на боці Китаю та атакує урядові установи Монголії. Угруповання використовує Discord, Slack, Microsoft 365 Outlook і файлообмінний сервіс file.io для управління зараженими комп’ютерами та виведення вкрадених даних. Набір інструментів включає кастомні бекдори, написані переважно мовою програмування Go — звідси і назва групи, адже логотипом Go є ховрах англійською. Свою діяльність угруповання веде щонайменше з листопада 2023 року, але було вперше публічно описане лише зараз. Ключовим моментом розслідування ESET стало те, що дослідникам вдалося отримати API-токени від Slack і Discord-серверів зловмисників, завдяки чому вдалося прочитати тисячі повідомлень між операторами угруповання. Телеметрія підтвердила заражені 12 систем в одній монгольській урядовій установі, але аналіз трафіку C&C-каналів вказує на десятки інших жертв, розташування яких наразі не встановлено.

Арсенал GopherWhisper складається з семи компонентів: бекдори LaxGopher, RatGopher, BoxOfFriends , інжектор JabGopher, утиліта виведення даних CompactGopher, завантажувач FriendDelivery та C++-бекдор SSLORDoor. Основні цілі CompactGopher — офісні файли та зображення. На підставі метаданих Slack — зокрема локалі zh-CN та активності операторів у годинах, що відповідають Китаю – ESET дійшла висновку, що GopherWhisper є китайськоорієнтованим угрупованням. Детальний технічний звіт і список індикаторів компрометації опубліковані на GitHub ESET.