Die Sicherheitsforscher von ESET haben eine bislang unbekannte chinesische Hackergruppe namens GopherWhisper publik gemacht, deren Aktivitäten bis November 2023 zurückgehen. Die Gruppe zeichnet sich durch eine ungewöhnliche Taktik aus: Statt einen ausgefeilten Angriffsvector zu perfektionieren, setzt GopherWhisper auf eine Vielzahl von Backdoor-Programmen, die jeweils unterschiedliche Cloud-Dienste für die Kommunikation mit infiltrierten Systemen nutzen.
Die Entdeckung begann am 2. Januar 2025 mit zwei Malware-Samples: der Backdoor „LaxGopher” und ihr Injector-Programm „JabGopher”. In den folgenden Monaten kamen vier weitere Backdoors hinzu: „CompactGopher”, „RatGopher”, „BoxOfFriends” und „SSLORDoor”. Jede Variante nutzt andere Cloud-Services für ihre Command-and-Control-Infrastruktur. LaxGopher kommuniziert über Slack, RatGopher über Discord, während BoxOfFriends E-Mail-Entwürfe in Microsoft Outlook missbraucht. CompactGopher exfiltriert Daten über den öffentlichen Datei-Sharing-Service file.io.
Ressourcenschonung statt Raffinesse
Forscher vermuten, dass GopherWhisper durch die Verwendung mehrerer C2-Kanäle flexibler auf Erkennungen und Blockaden reagieren kann. Mathieu Tartare, Senior-Malware-Forscher bei ESET, betont jedoch: „Ich würde nicht sagen, dass diese Gruppe besonders ausgefeilte Techniken einsetzt.” Ein besonders aufschlussreiches Detail: In den Digital-Downloads der Angreifer fanden sich Dateien mit Titeln wie „How to write RATs” – ein Hinweis darauf, dass die Operateure möglicherweise noch relativ unerfahren in der Malware-Entwicklung sind.
Die Mongolei im Fadenkreuz
Die Mongolei ist ein begehrtes Ziel für Cyber-Spionage. ESET-Forscher berichten von mindestens 12 infiltrierten Systemen einer mongolischen Regierungsinstitution, wobei Dutzende weitere Opfer vermutet werden. Das Land befindet sich geopolitisch in einer prekären Lage: Es wird nicht nur von chinesischen APT-Gruppen wie GopherWhisper bedroht, sondern auch von russischen Akteuren wie APT29, die Watering-Hole-Anschläge auf Regierungswebsites durchführten.
Daten der mongolischen Nationalen Sicherheitsrates zeigen das Ausmaß der Bedrohung: 2024 verzeichnete das Land 1,6 Millionen Cyberangriffe und Zwischenfälle, darunter 13.061 Cybercrime-Fälle mit Schäden von 25,4 Millionen Dollar. Die Mongolei hat mit Gesetzen aus 2021 und einer nationalen Cybersicherheitsstrategie von 2023 reagiert, doch die Herausforderungen bleiben enorm.
Für Deutschland und Europa zeigt sich ein wichtiges Lehrstück: Cyberbedrohungen sind global und grenzenlos. Während GopherWhisper auf die Mongolei fokussiert, entwickelt jede neue Malware-Variante potenziell auch Bedrohungen für andere Regionen. Deutsche Organisationen sollten verstärkt auf diverse Sicherheitsmaßnahmen setzen und Cloud-Dienste kritisch auf ihre Missbrauchsmöglichkeiten überprüfen.