Siber güvenlik alanında önde gelen şirketlerden ESET, Moğolistan’daki devlet kurumlarını hedef alan yeni bir gelişmiş kalıcı tehdit (APT) grubunu ortaya çıkardı. “GopherWhisper” olarak adlandırılan bu grup, casusluk faaliyetlerinde bulunmak amacıyla Discord, Slack ve Microsoft Outlook gibi yaygın kullanılan platformları kötüye kullanıyor.
Yeni APT Grubu: GopherWhisper
ESET araştırmacıları, daha önce kayıtlara geçmemiş olan ve Çin bağlantılı olduğu değerlendirilen GopherWhisper grubunu ilk olarak Ocak 2025’te tespit etti. Araştırma sürecinde, Moğolistan’daki bir devlet kurumunun sistemlerinde keşfedilen yeni bir arka kapı yazılımına LaxGopher adı verildi.
Yapılan detaylı analizlerde grubun, çoğunlukla Go programlama dili ile geliştirilmiş çeşitli kötü amaçlı araçlar kullandığı ortaya çıktı. Bu araçlar arasında arka kapılar, veri sızdırma yazılımları ve enjektörler bulunuyor.
Meşru Platformlar Üzerinden Casusluk
GopherWhisper’ın en dikkat çekici özelliklerinden biri, komuta ve kontrol (C&C) iletişimi için Discord, Slack ve Microsoft 365 Outlook gibi meşru platformları kullanması. Bu yöntem, saldırganların faaliyetlerini gizlemesini kolaylaştırırken tespit edilmesini de zorlaştırıyor.
ESET araştırmacıları, bu platformlar üzerinden gerçekleştirilen binlerce mesajı analiz ederek grubun çalışma düzenine dair önemli ipuçları elde etti.
Birden Fazla Zararlı Araç Tespit Edildi
Araştırma kapsamında tespit edilen zararlı yazılımlar şunlar oldu:
- LaxGopher (Go tabanlı arka kapı)
- RatGopher (arka kapı)
- BoxOfFriends (arka kapı)
- SSLORDoor (C++ tabanlı arka kapı)
- JabGopher (enjektör)
- CompactGopher (veri sızdırma aracı)
- FriendDelivery (zararlı DLL)
Bu araçların ortak amacı, hedef sistemlerde kalıcılık sağlamak ve hassas verileri dışarı sızdırmak olarak öne çıkıyor.
Çin Bağlantısı Şüphesi
ESET araştırmacılarından Eric Howard, grubun faaliyet saatlerinin Çin Standart Saati ile uyumlu olduğunu ve kullanılan sistem ayarlarının da bu yönde olduğunu belirtti. Slack ve Discord mesajlarının büyük bölümünün sabah 08:00 ile akşam 17:00 saatleri arasında gönderildiği tespit edildi.
Bu bulgular, GopherWhisper grubunun Çin merkezli olabileceği yönündeki değerlendirmeleri güçlendiriyor.
Küresel Etki Potansiyeli
ESET telemetri verilerine göre, saldırıların şu ana kadar doğrulanmış hedefi Moğolistan’daki bir devlet kurumu olsa da, analiz edilen veriler dünya genelinde onlarca farklı kurumun da etkilenmiş olabileceğine işaret ediyor.
Uzmanlar, bu tür gelişmiş tehdit gruplarının özellikle kamu kurumları ve kritik altyapılar için ciddi risk oluşturduğuna dikkat çekiyor.
Siber Güvenlikte Yeni Bir Dönem
GopherWhisper örneği, siber saldırganların artık daha sofistike yöntemler kullandığını bir kez daha ortaya koyuyor. Meşru platformların kötüye kullanılması, geleneksel güvenlik çözümlerinin ötesinde daha gelişmiş savunma mekanizmalarına ihtiyaç duyulduğunu gösteriyor.
ESET’in bu keşfi, siber güvenlik dünyasında yeni tehditlere karşı farkındalığın artırılması açısından önemli bir gelişme olarak değerlendiriliyor.
