ESET yeni bir siber casusluk kümesini ortaya çıkardı

Siber güvenlikte dünya lideri olan ESET, Moğolistan’daki devlet kurumlarını amaç alan ve GopherWhisper olarak isimlendirilen, Çin ile temaslı yeni bir APT kümesi ortaya çıkardı. Küme, casusluk yapmak için Discord, Slack ve Outlook iletileşme hizmetlerini berbata kullanıyor.

ESET araştırmacıları, GopherWhisper ismini verdikleri, daha evvel kayıtlara geçmemiş, Çin ile ilişkili bir APT kümesi keşfettiler. Küme, çoğunlukla Go lisanında yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli art kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu amaç aldı. GopherWhisper, komuta ve denetim (C&C) irtibatı ve bilgi sızdırma emeliyle Discord, Slack, Microsoft 365 Outlook ve file.io üzere legal hizmetleri berbata kullanıyor.

ESET araştırmacıları  bu kümesi Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha evvel belgelenmemiş bir art kapı bulduğunda keşfetti  ve bu art kapıya LaxGopher ismini verdi. Daha derinlemesine araştırma yapan takım, birebir küme tarafından dağıtılan, çoğunlukla çeşitli ek art kapılar olmak üzere birkaç makûs gayeli araç daha ortaya çıkardı. Bu araçların birçok Go lisanında yazılmıştı ve ortak hedefleri siber casusluktu.

ESET telemetrisine nazaran, GopherWhisper art kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini tahlil eden ESET, Moğolistan kurumunun yanı sıra onlarca öteki kurbanın da etkilendiğini kestirim ediyor; lakin bu kurbanların coğrafik pozisyonları yahut dalları hakkında rastgele bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü art kapı: Go lisanında yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ lisanında yazılmış SSLORDoor. Ayrıyeten ESET, bir enjektör (JabGopher), Go tabanlı bir bilgi sızdırma aracı (CompactGopher) ve berbat hedefli bir DLL evrakı (FriendDelivery) buldu.

ESET’in tespit ettiği makûs gayeli yazılım kümesi, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve öteki hiçbir kümenin kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir kümeye atfediyor. Araştırmacılar, kümenin araçlarının birçoklarının maskotu bir gopher olan Go programlama lisanında yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll evrak ismine dayanarak bu kümeye GopherWhisper ismini verdi.

Yeni tehdit kümesini keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C irtibatı için Slack, Discord ve Outlook üzere legal hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord iletisinin yanı sıra Microsoft Outlook’tan birkaç taslak e-posta bildirisini da elde etmeyi başardık. Bu, kümenin iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord bildirilerinin vakit damgası incelemesi, bunların birçoklarının çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 ortasında gönderildiğini gösterdi. Ayrıyeten Slack meta bilgilerinde yapılandırılmış kullanıcının mahallî ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir küme olduğuna inanıyoruz” dedi.

ESET’in bu araştırmasına nazaran, kümenin Slack ve Discord sunucuları birinci olarak art kapıların fonksiyonelliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher art kapıları için komuta ve denetim (C&C) sunucuları olarak kullanıldı. Slack ve Discord bağlantılarına ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends art kapısı ile C&C’si ortasındaki bağlantıda kullanılan e-posta iletilerini da çıkarabildiler.

ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.

Kaynak: (BYZHA) Beyaz Haber Ajansı