Sebuah aktor ancaman yang didukung oleh negara (state-backed) dan belum terdokumentasi sebelumnya—kini dijuluki GopherWhisper—terdeteksi menggunakan perangkat kustom berbasis bahasa pemrograman Go (Golang) dan menyalahgunakan layanan komunikasi sah seperti Microsoft 365 Outlook, Slack, dan Discord dalam serangkaian serangan terhadap entitas pemerintah.
Diketahui telah aktif setidaknya sejak tahun 2023, kelompok peretas ini memiliki kaitan erat dengan Tiongkok dan diperkirakan telah menyusupi puluhan korban di berbagai wilayah.
Dalam kampanye yang diidentifikasi oleh perusahaan keamanan siber ESET, aktor ancaman ini menargetkan sebuah entitas pemerintah di Mongolia. Mereka menyebarkan serangkaian malware dengan banyak backdoor (pintu belakang) yang memanfaatkan Slack, Discord, dan Microsoft Graph API untuk komunikasi Komando-dan-Kontrol (C2). GopherWhisper juga menggunakan alat eksfiltrasi kustom untuk mengompres data yang dicuri dan mengunggahnya ke layanan berbagi fail File.io.
Gudang Persenjataan Siber GopherWhisper
Pada Januari 2025, ESET mendeteksi backdoor pertama GopherWhisper yang ditulis dalam Go dan menamainya LaxGopher. Malware ini dapat mengambil perintah dari server Slack pribadi, mengeksekusinya menggunakan Command Prompt, dan mengunduh muatan baru.
Penyelidikan lebih lanjut mengungkapkan bahwa aktor ancaman tersebut telah menyebarkan alat berbahaya tambahan, yang sebagian besar juga berbasis Go:
- RatGopher: Backdoor berbasis Go yang menggunakan server Discord pribadi untuk C2, mengeksekusi perintah dan mengirimkan hasilnya kembali ke saluran yang dikonfigurasi.
- BoxOfFriends: Backdoor berbasis Go yang memanfaatkan Microsoft 365 Outlook (Microsoft Graph API) untuk membuat dan memodifikasi draf email sebagai jalur komunikasi C2.
- SSLORDoor: Backdoor C++ yang menggunakan OpenSSL BIO melalui soket mentah (raw sockets port 443), mampu mengeksekusi perintah dan melakukan operasi fail (baca, tulis, hapus, unggah) serta enumerasi kandar.
- JabGopher: Injektor yang meluncurkan
svchost.exedan menyuntikkan backdoor LaxGopher (yang menyamar sebagaiwhisper.dll) ke dalam memorinya. - FriendDelivery: Fail DLL berbahaya yang bertindak sebagai pemuat (loader) dan injektor yang mengeksekusi backdoor BoxOfFriends.
- CompactGopher: Alat pengumpul fail berbasis Go yang mengompresi data dari baris perintah (command line) dan mengeksfiltrasinya ke layanan berbagi fail file.io.
Jejak Digital Mengarah ke Tiongkok
Dengan menggunakan kredensial yang tertanam (hardcoded) di dalam backdoor berbasis Go tersebut, para peneliti ESET berhasil mengakses akun penyerang di Slack, Discord, dan Microsoft Outlook. Dari sana, mereka memulihkan komunikasi C2 yang terdiri dari perintah, fail yang diunggah, dan aktivitas eksperimental.
“Kami mengambil dan menganalisis total 6.044 pesan Slack yang bermula sejak 21 Agustus 2024, dan 3.005 pesan Discord dengan tanggal paling awal dari 16 November 2023,” ungkap laporan teknis ESET hari ini. Akses ini, beserta metadata yang diperoleh dari server C2, sangat membantu peneliti untuk mengaitkan para peretas tersebut dengan Tiongkok.
“Pemeriksaan stempel waktu (timestamp) dari pesan Slack ini menunjukkan bahwa perintah dikeluarkan antara pukul 12.00 dan 12.00 UTC, sementara riwayat pesan Discord mengungkapkan perintah dikirim antara pukul 12.00 dan 14.00 UTC,” jelas ESET.
Lebih lanjut, ketika para peneliti menyesuaikan zona waktu ke UTC+8—yang cocok dengan locale “zh-CN” yang ditemukan dalam metadata server Slack—mereka menyadari bahwa aktivitas peretas berpusat di sekitar jam kerja standar, yakni antara pukul 08.00 pagi hingga 17.00 sore. Pola jam kerja inilah yang secara signifikan meningkatkan keyakinan atribusi serangan ke Tiongkok.
Dampak Serangan dan Mitigasi
Data telemetri ESET menunjukkan bahwa GopherWhisper menyusupi 12 sistem di sebuah institusi pemerintah Mongolia. Akan tetapi, analisis menyeluruh terhadap lalu lintas C2 di Discord dan Slack mengungkapkan bahwa terdapat “puluhan korban lainnya”, meskipun para peneliti saat ini belum memiliki visibilitas terkait geografi dan sektor aktivitas korban-korban tersebut.
Sebagai langkah mitigasi, ESET telah memublikasikan serangkaian Indikator Kompromi (IoC) GopherWhisper untuk membantu tim pertahanan siber mengidentifikasi dan memblokir serangan dari klaster ancaman baru ini.