GopherWhisper Grubu: Moğolistan’daki Kamu Kurumlarına Yönelik Yeni Siber Tehdit
Siber güvenlik kuruluşu ESET, Moğolistan’daki kamu kurumlarını hedef alan GopherWhisper adlı yeni bir siber tehdit grubunu tespit etti.
Yapılan teknik incelemeler, grubun popüler mesajlaşma ve bulut hizmetlerini kötüye kullandığını gösteriyor. Araştırmacılar, grubun çalışma saatlerini ve kullandığı altyapıyı inceleyerek operasyonun Çin merkezli olabileceği sonucuna ulaştı.
Gizli İletişim Yöntemleri
GopherWhisper grubu, iletişim trafiğini gizlemek için Discord, Slack ve Microsoft 365 Outlook gibi platformlardan yararlanıyor. Bu yöntem, kötü amaçlı yazılımların ağ trafiği içinde fark edilmesini zorlaştırıyor. ESET araştırmacıları, grubun ele geçirdiği sistemlerde veri sızdırmak ve komut göndermek amacıyla bu servisler üzerinden binlerce mesaj gönderdiğini tespit etti. Ocak 2025’te Moğolistan’daki bir devlet kurumunda bulunan LaxGopher adlı arka kapı yazılımı, bu casusluk ağının ilk önemli ipucu oldu.
Saldırganların Araçları ve Yöntemleri
Saldırganlar, büyük bir kısmını Go programlama diliyle geliştirdikleri araçlar kullanıyor. Grubun cephaneliğinde LaxGopher dışında RatGopher, BoxOfFriends ve SSLORDoor gibi farklı işlevlere sahip casusluk yazılımları bulunuyor. Analiz edilen veriler, saldırganların yalnızca Moğolistan’da değil, farklı sektörlerden başka kurbanları da hedef almış olabileceğini gösteriyor.
ESET bünyesindeki araştırmacı Eric Howard, grubun çalışma sistematiğine dair önemli detaylar paylaştı. Botconf 2026 konferansında sunulan bulgulara göre, Slack ve Discord üzerinden iletilen mesajların zaman damgaları Çin Standart Saati ile uyumlu. Mesaj trafiğinin sabah 08:00 ile akşam 17:00 saatleri arasında yoğunlaşması, profesyonel bir çalışma düzenini yansıtıyor.
Grup, sistemlere sızdıktan sonra Microsoft Graph API kullanarak Outlook taslak e-postaları üzerinden veri alışverişi yapıyor. Mevcut hiçbir siber tehdit aktörünün teknikleriyle örtüşmeyen bu yeni yapı, siber güvenlik dünyasında GopherWhisper ismiyle takip edilmeye başlandı.
