Slovakya merkezli siber güvenlik şirketi ESET, Moğolistan’daki devlet kurumlarını hedef alan ve “GopherWhisper” olarak adlandırılan, Çin ile bağlantılı yeni bir Gelişmiş Kalıcı Tehdit (APT) grubu ortaya çıkardı. Grubun, casusluk faaliyetlerini gizlemek için Discord, Slack ve Outlook gibi popüler mesajlaşma hizmetlerini kötüye kullandığı tespit edildi.
Meşru hizmetler üzerinden veri sızıntısı
ESET araştırmacıları tarafından deşifre edilen GopherWhisper grubunun, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi yasal bulut hizmetlerini kullandığı belirlendi. Bu yöntem, saldırganların trafiğinin normal iş akışı içinde kaybolmasını sağlayarak tespit edilmesini zorlaştırıyor.
Go diliyle yazılmış karmaşık cephanelik
Grubun Ocak 2025’te keşfedilen araç setinin büyük bir kısmının Go programlama diliyle yazıldığı bildirildi. ESET araştırmacıları, grubun sistemlere sızmak için “LaxGopher” adını verdikleri daha önce belgelenmemiş bir arka kapı kullandığını ortaya çıkardı. Tehdit aktörlerinin cephaneliğinde, siber casusluk amacıyla tasarlanmış yedi farklı araç bulunduğu ve bunlardan dördünün doğrudan arka kapı işlevi gördüğü kaydedildi.
Hedefte devlet kurumları var
ESET telemetri verilerine göre, GopherWhisper operasyonunun ana kurbanı Moğolistan’daki bir devlet kurumu oldu. Ancak uzmanlar, analiz edilen trafik verilerine dayanarak Moğolistan kurumunun yanı sıra onlarca başka kurbanın da bu saldırılardan etkilenmiş olabileceğini tahmin ediyor. Grubun faaliyetlerinin, siber güvenlik dünyasında daha önce kayıtlara geçmemiş özgün bir operasyon olduğu vurgulanıyor.
