HackerangriffeMalwareCyberkriminalität

GopherWhisper: Chinesische APT-Gruppe nutzt Outlook, Slack und Discord als Spionage-Kanal

GopherWhisper: Chinesische APT-Gruppe nutzt Outlook, Slack und Discord als Spionage-Kanal
Zusammenfassung

Die chinesische Hackergruppe GopherWhisper, die seit mindestens 2023 aktiv ist, nutzt ein in Go geschriebenes Malware-Toolkit und legitime Dienste wie Microsoft 365 Outlook, Slack und Discord, um Regierungsinstitutionen anzugreifen. Die Sicherheitsfirma ESET hat diese bislang unbekannte staatliche Bedrohung erstmals dokumentiert und konnte nachweisen, dass die Angreifer bereits Dutzende Opfer kompromittiert haben. Im aktuellen Fall wurden mindestens zwölf Systeme einer mongolischen Regierungsbehörde infiltriert. Die Besonderheit dieser Kampagne liegt darin, dass die Angreifer populäre Cloud-Services als Kommunikationskanal für ihre Befehle missbrauchen – eine Taktik, die Erkennungssysteme leicht umgehen kann. Durch die Analyse von über 6.000 Slack- und 3.000 Discord-Nachrichten konnte ESET die Aktivitäten rekonstruieren und mittels Zeitstempel-Analyse und Metadaten eine Verbindung zu China nachweisen. Für deutsche Unternehmen und Behörden ist dieser Fall relevant, da ähnliche staatliche Akteure auch europäische Ziele angegriffen haben und die verwendeten Techniken auf andere Institutionen übertragbar sind. Die Nutzung legitimer Services macht solche Angriffe besonders tückisch und erfordert erhöhte Wachsamkeit bei der Überwachung von Cloud-Plattformen.

Die von ESET identifizierte Hackergruppe GopherWhisper setzt auf eine besonders raffinierte Methode der Schadsoftware-Kommunikation. Statt klassische Command-and-Control-Server zu nutzen, die relativ leicht zu blockieren sind, missbrauchen die Angreifer die APIs von Slack, Discord und Microsoft Graph, um Befehle an ihre Backdoors zu übermitteln. Diese Strategie macht die Angriffe deutlich schwerer zu erkennen.

Das Kernstück des Malware-Arsenals ist die im Januar 2025 entdeckte Backdoor LaxGopher, die komplett in der Programmiersprache Go geschrieben ist. Die Malware ruft Befehle von privaten Slack-Servern ab und führt diese über die Windows-Eingabeaufforderung aus. Sie kann zudem neue Schadprogramme herunterladen. Parallel dazu setzen die Angreifer auch andere Go-basierte Tools ein, darunter ein spezielles Exfiltrations-Programm, das gestohlene Daten komprimiert und über den Dienst File.io hochlädt.

Die Sicherheitsforscher gelangten durch im Go-Code hardcodierte Zugangsdaten an die Slack-, Discord- und Outlook-Konten der Angreifer. Dies ermöglichte ihnen einen seltenen Einblick in die tatsächliche Operationsweise: ESET analysierte über 6.000 Slack-Nachrichten zurück bis August 2024 sowie mehr als 3.000 Discord-Nachrichten ab November 2023. Die Analyse dieser Kommunikation lieferte konkrete Hinweise auf chinesische Hacker. Die zeitliche Analyse zeigte, dass Befehle zwischen 8 und 17 Uhr UTC+8 ausgegeben wurden – exakt im typischen chinesischen Arbeitszeitfenster.

Bestätigt wird die Verbindung zur chinesischen Behörde durch Metadaten, die die Spracheinstellung “zh-CN” (vereinfachtes Chinesisch) aufweisen. ESET konnte in der mongolischen Regierungsinstitution mindestens 12 infizierte Systeme nachweisen, vermutet aber basierend auf der C2-Kommunikation, dass insgesamt Dutzende von Opfern weltweit betroffen sind.

Für deutsche Organisationen ist dieser Fall besonders relevant. Viele Behörden und Unternehmensgruppen nutzen inzwischen Slack, Discord oder Microsoft 365 – oft mit administrativen Rechten. Die Technik von GopherWhisper zeigt, wie Angreifer diese Dienste gegen ihre Betreiber wenden können. ESET hat bereits Indikatoren zur Früherkennung veröffentlicht und empfiehlt verstärkte Überwachung dieser Plattformen sowie strenge Access-Controls.

Ähnliche Artikel