中國駭客GopherWhisper鎖定蒙古，利用多種雲端服務從事網路間諜活動

資安公司ESET揭露中國駭客GopherWhisper，這些駭客使用多種以Go語言撰寫而成的工具於蒙古某個政府機構部署並執行各種後門程式。這些駭客也濫用Discord、Slack、Microsoft 365 Outlook，以及雲端檔案共享服務file.io等合法服務，進行C2通訊與資料外洩。

該公司起初於2025年1月發現GopherWhisper的活動，當時他們看到後門程式LaxGopher，駭客使用後門注入工具JabGopher將其注入svchost.exe處理程序執行。該惡意軟體與特定的Slack伺服器互動，藉此取得C2的訊息，然後透過cmd.exe執行指令，將結果回傳指定Slack通道。此外，駭客也利用LaxGopher在受害電腦下載其他惡意程式，其中一個是檔案收集工具CompactGopher。

值得留意的是，這些駭客使用的後門程式，還有RatGopher、SSLORDoor與BoxOfFriends，這些後門使用的C2通訊方式各有不同，RatGopher採用Discord伺服器、SSLORDoor利用OpenSSL BIO、BoxOfFriends則是使用Microsoft 365 Outlook的郵件REST API。

在後門程式之外，駭客也運用CompactGopher進行檔案收集，其功能是快速透過命令列打包檔案，然後自動傳送到file.io。