HackerangriffeMalwareDatenschutz

Chinesische Hacker infiltrierten mongolische Regierungsbehörde über Discord und Slack

Chinesische Hacker infiltrierten mongolische Regierungsbehörde über Discord und Slack
Zusammenfassung

Eine bislang unbekannte, China-nahe Hackergruppe hat eine mongolische Regierungsbehörde angegriffen und dabei beliebte Kommunikationsplattformen wie Discord, Slack und Microsoft 365 Outlook für ihre verdeckten Operationen missbraucht. Die von Sicherheitsforschern des Unternehmens ESET als „GopherWhisper" benannte Gruppe ist mindestens seit November 2023 aktiv und wurde im Januar 2025 entdeckt, nachdem Ermittler einen zuvor unbekannten Backdoor auf dem Netzwerk einer mongolischen Regierungsinstitution fanden. Die Malware namens „LaxGopher" wurde auf etwa ein Dutzend Systemen der Organisation installiert, wobei Forscher davon ausgehen, dass die Kampagne wahrscheinlich Dutzende weitere Opfer betroffen hat. Die Angreifer nutzten gezielt legitime Online-Dienste, um ihre Aktivitäten zu verschleiern, und setzten auf eine Reihe von speziell entwickelten Tools in der Programmiersprache Go. Für deutsche Nutzer und Unternehmen ist dieser Vorfall besonders relevant, da die Verwendung populärer Cloud-Dienste für Cyberanschläge zeigt, wie schwierig es ist, solche Aktivitäten zu erkennen. Behörden und Organisationen müssen ihre Sicherheitsmaßnahmen überprüfen, insbesondere bei der Überwachung verdächtiger Aktivitäten in vermeintlich sicheren Plattformen wie Slack oder Discord.

Die Cybersecurity-Firma ESET hat eine bemerkenswerte Hackeroperation aufgedeckt, die neue Erkenntnisse über die Taktiken staatlicher Cyberangreifer liefert. Die Gruppe GopherWhisper nutzte eine bewusst getarnte Infrastruktur, um ihre Spionageaktivitäten zu verschleiern – ein Ansatz, der für professionelle Angreifer charakteristisch ist.

Das Herzstück der Operation war die Malware LaxGopher, ein maßgeschneiderter Backdoor, der auf etwa ein Dutzend Systemen der mongolischen Regierungsinstitution installiert wurde. ESET vermutet jedoch, dass die tatsächliche Anzahl der Opfer deutlich höher liegt und zahlreiche weitere Ziele in verschiedenen Sektoren betroffen sein könnten.

Besonders bemerkenswert ist die Art und Weise, wie die Angreifer ihre Kommunikation verschleiert haben. Statt eigener, verdächtiger Infrastruktur setzten sie auf vertrauenswürdige Plattformen: Discord, Slack und Microsoft 365 Outlook dienten als Kanäle für die Kommunikation mit kompromittierten Systemen und zur Verwaltung der Command-and-Control-Infrastruktur. Dies macht die Erkennung erheblich schwieriger, da der Datenverkehr zu legitimen Diensten normalerweise als harmlos eingestuft wird.

Die Werkzeugsammlung der Gruppe bestand aus mehreren custom-built Tools, überwiegend in der Programmiersprache Go geschrieben. Dazu gehörten RatGopher, BoxOfFriends, der Injector JabGopher, der Loader FriendDelivery und der Backdoor SSLORDoor. Zur Datenabfuhr entwickelten die Angreifer das spezielle Tool CompactGopher, das Dateien komprimierte und über den File-Sharing-Dienst File.io hochlud.

Obwohl ESET die Operation als Cyberespionage klassifiziert, wurde eine konkrete Zuordnung zu einem spezifischen Akteur nicht vorgenommen. Die Bezeichnung als “China-linked” basiert auf Verhaltensmustern und technischen Indikatoren, die auf staatliche Strukturen hindeuten.

Für deutsche Unternehmen und Behörden ist dieser Fall ein Warnsignal. Die Taktik, legitime Cloud-Services zur Verschleierung zu missbrauchen, ist exportierbar und könnte auch gegen deutsche Institutionen eingesetzt werden. Organisationen sollten ihre Netzwerk-Monitoring-Strategien überprüfen und besonderes Augenmerk auf ungewöhnliche Aktivitäten in populären Kommunikationsplatformen legen.

Ähnliche Artikel