HackerangriffeMalwareSchwachstellen

GopherWhisper: Chinesische Hackergruppe nutzt legitime Dienste für Regierungsangriffe

GopherWhisper: Chinesische Hackergruppe nutzt legitime Dienste für Regierungsangriffe
Zusammenfassung

Sicherheitsforscher der Europäischen Cybersecurity-Agentur ESET haben eine neue, aus China stammende Hackergruppe namens GopherWhisper identifiziert, die seit November 2023 aktiv ist und gezielt Regierungsinstitutionen angegriffen hat. Die Gruppe nutzt eine ausgefeilte Arsenal von Go-basierten Backdoors – darunter LaxGopher, RatGopher und BoxOfFriends – sowie Custom-Loader und Injektoren, um in Systeme einzudringen und diese zu kontrollieren. Besonders bemerkenswert ist die Taktik, legitime Services wie Slack, Discord, Microsoft Graph API und File-Sharing-Dienste für Command-and-Control-Kommunikation und Datendiebstahl zu missbrauchen, was die Erkennung erheblich erschwert. Entdeckt wurde die Gruppe im Januar 2025 durch die Analyse einer Malware-Infektion in einer mongolischen Regierungsinstitution, wo mindestens zwölf Systeme kompromittiert wurden. Für deutsche Behörden, Regierungsinstitutionen und kritische Infrastrukturen stellt GopherWhisper eine erhebliche Bedrohung dar, da die raffinierten Angriffsmethoden auch hierzulande Ziele treffen könnten. Unternehmen sollten ihre Netzwerk-Überwachung intensivieren und den Missbrauch legitimer Cloud-Services als Angriffsvektor im Blick behalten.

Die neu entdeckte Hackergruppe GopherWhisper zeigt ein hohes Maß an technischer Raffinesse und organisatorischer Struktur. Das ESET-Sicherheitsteam konnte die Gruppe eindeutig China zuordnen, indem es Zeitstempel in Chat-Nachrichten und E-Mails analysierte. Was GopherWhisper besonders gefährlich macht, ist ihr Ansatz, legitime Services für schädliche Aktivitäten zu missbrauchen — ein Verhalten, das traditionelle Sicherheitssysteme regelmäßig übersehen.

Das Herzstück des Angriffsarsenals bildet die Backdoor LaxGopher. Diese in Go programmierte Malware nutzt Slack für die Kommandozentrale und kann Befehle ausführen, Daten exfiltrieren sowie weitere Schadsoftware nachladen. Bei der Zielorganisation in der Mongolei wurde LaxGopher primär eingesetzt, um Laufwerke und Dateisysteme auszuspionieren. Das Tool JabGopher fungiert als Injector und führt LaxGopher direkt im Speicher eines svchost.exe-Prozesses aus — eine Technik, die Antivirenprogramme erschwert zu erkennen.

Weitere bemerkenswerte Tools im Arsenal von GopherWhisper sind:

CompactGopher: Ein Dateiensammler, der komprimierte Dateien über die Public REST API des Datei-Sharing-Dienstes file.io hochlädt.

RatGopher: Eine alternative Backdoor, die Discord für C&C-Kommunikation nutzt und Datei-Upload sowie -Download unterstützt.

SSLORDoor: Eine in C++ geschriebene Backdoor mit OpenSSL BIO für TCP-Kommunikation. Sie kann versteckte Kommandozeilenprozesse starten und Dateiverwaltungsbefehle ausführen.

BoxOfFriends: Besonders innovativ, nutzt die Microsoft Graph API und Outlook-Entwürfe als Kommunikationskanal.

Diese Vielfalt an Tools deutet auf eine gut organisierte Entwicklungsoperation hin. ESET betont, dass GopherWhisper aufgrund fehlender Ähnlichkeiten zu bekannten APT-Gruppen als vollständig neue Bedrohung klassifiziert wurde.

Für deutsche Organisationen ist diese Entdeckung ein Weckruf. Der Missbrauch legitimer Cloud-Services wie Slack, Discord und Microsoft Graph API erschwert es erheblich, verdächtige Aktivitäten zu erkennen. Firmen müssen ihre Netzwerküberwachung verstärken und verdächtige API-Aufrufe sowie ungewöhnliche Dateiaustausche näher untersuchen. Behörden sollten zudem ihre Go-Projekte und Prozessinjektions-Mechanismen intensiver überwachen. Mit Dutzenden vermuteten weiteren Opfern weltweit könnte GopherWhisper zur nächsten großen Bedrohung im Bereich der staatlich unterstützten Cyberangriffe werden.

Ähnliche Artikel