ESET, Yeni Bir Siber Casusluk Grubunu Ortaya Çıkardı

ESET tarafından gerçekleştirilen bir araştırma neticesinde, Çin kaynaklı olduğu değerlendirilen yeni bir APT (Gelişmiş Kalıcı Tehdit) grubu tespit edildi. “GopherWhisper” adı verilen bu grup, Moğolistan’daki devlet kurumlarına yönelik casusluk faaliyetleri yürütüyor ve iletişim için popüler mesajlaşma platformlarını kullanıyor.

Hedefler ve Kullanılan Teknolojiler

Araştırma ekibinin Ocak 2025 tarihinde Moğolistan’daki bir devlet kurumundaki sistemlerde keşfettiği LaxGopher adlı arka kapıyla başlayan incelemelerde, grubun çok sayıda kötü amaçlı araç geliştirdiği belirlendi. Çoğunlukla Go programlama dilinde kodlanmış olan bu yazılımlar ve ek enjektörler aracılığıyla saldırılar düzenleniyor. Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru platformlar, grup tarafından komuta ve kontrol (C&C) trafiği ve veri sızdırma amaçlı kullanılmıştır.

Siber Casuslukta Benzersiz Taktikler ve İşleyiş

Gözlemlenmeyen bir başka APT grubuna ait olan GopherWhisper, kullandığı araçlar ve tekniklerle daha önce kayıt altına alınan herhangi bir aktörle benzerlik göstermemektedir. Araştırmacılar, grubun araçlarının çoğunun isminin “gopher” simgesi ile Go dilinde yazılmış olduğunu ve yan yükleme yoluyla eklenen “whisper.dll” dosyasının grubun ismi için ilham kaynağı olduğunu belirtmektedirler. Ayrıca, grup üyelerinin çalışma saatleri ve dil ayarları Çin Standart Saati ile uyumlu olduğu için GopherWhisper’ın Çin merkezli olduğu sonucuna varıldı.

Bu yeni keşif, ESET’in Botconf 2026 konferansında duyuruldu. Gözlemler, grubun Slack ve Discord sunucularını öncelikle kötü amaçlı arka kapıları test etmek için, daha sonra ise geniş çaplı kontrol ve komut faaliyetleri için kullandığını ortaya koydu. Ayrıca, Microsoft Graph API üzerinden gönderilen e-postalar aracılığıyla da çeşitli iletişimler gerçekleştirildi.

Kaynak: BYZHA