Çin bağlantılı yeni siber casusluk grubu 'GopherWhisper' ortaya çıkarıldı
ESET araştırmacıları, Moğolistan'daki devlet kurumlarını hedef alan ve meşru platformları kötüye kullanan yeni bir APT grubunu tespit etti.
Haberin Özeti
- • ESET, Çin bağlantılı olduğu değerlendirilen yeni siber casusluk grubu “GopherWhisper”ı, özellikle Moğolistan devlet kurumlarını hedef alırken ortaya çıkardı.
- • Grup, Go programlama diliyle geliştirilmiş araçlar kullanarak sistemlere sızıyor ve komuta-kontrol için Discord, Slack ve Microsoft Outlook gibi meşru platformları kötüye kullanıyor.
- • Ocak 2025’te LaxGopher arka kapısıyla keşfedilen grubun faaliyetleri, ESET Research tarafından incelenerek bulgular 2026 yılındaki Botconf konferansında paylaşıldı.
Siber güvenlik şirketi ESET, Çin ile bağlantılı olduğu değerlendirilen ve “GopherWhisper” adı verilen yeni bir gelişmiş kalıcı tehdit (APT) grubunu ortaya çıkardı. Grup, özellikle Moğolistan’daki devlet kurumlarını hedef alarak siber casusluk faaliyetleri yürütüyor.
ESET Research tarafından yapılan analizlere göre GopherWhisper, saldırılarında çoğunlukla Go programlama diliyle geliştirilmiş araçlar kullanıyor. Grup, enjektörler ve yükleyiciler aracılığıyla sistemlere sızarak çeşitli arka kapıları devreye alıyor ve bu sayede hedef sistemlerde kalıcılık sağlıyor.
Araştırma kapsamında dikkat çeken bir diğer unsur ise grubun komuta ve kontrol (C&C) iletişimi ile veri sızdırma süreçlerinde Discord, Slack ve Microsoft Outlook gibi yaygın kullanılan platformları kötüye kullanması oldu. Bu yöntem, saldırıların tespit edilmesini zorlaştırıyor.
ESET araştırmacıları, grubu ilk olarak 2025 yılının Ocak ayında Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı tespit etmeleriyle keşfetti. “LaxGopher” adı verilen bu zararlı yazılımın ardından yapılan derinlemesine incelemelerde aynı grup tarafından kullanılan çok sayıda araç daha ortaya çıkarıldı.
Şirketten yapılan açıklamada, “Keşfedilen araçların büyük bölümü Go dilinde yazılmış olup, temel amaçları siber casusluk faaliyetleri yürütmektir. Bu araçlar arasında LaxGopher, RatGopher ve BoxOfFriends gibi arka kapıların yanı sıra veri sızdırma ve sistemlere sızma amacıyla kullanılan farklı bileşenler de yer almaktadır” ifadelerine yer verildi.
Araştırmaya göre saldırılardan etkilenen kurbanlardan biri Moğolistan’daki bir devlet kurumu olurken, analiz edilen veri trafiği onlarca farklı hedefin de etkilenmiş olabileceğini ortaya koydu. Ancak bu hedeflerin coğrafi konumları ve sektörleri hakkında net bilgi bulunmuyor.
Eric Howard, konuya ilişkin yaptığı değerlendirmede şu ifadeleri kullandı:
“GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında binlerce mesaj ve e-posta taslağına ulaştık. Zaman damgaları incelendiğinde, faaliyetlerin büyük bölümünün Çin Standart Saati’ne uygun çalışma saatlerinde gerçekleştiği görüldü. Bu nedenle grubun Çin merkezli olduğuna inanıyoruz.”
ESET’in bulgularına göre grup, ilk aşamada Slack ve Discord sunucularını arka kapıların test edilmesi için kullanırken, daha sonra bu platformları ele geçirilen sistemlerle iletişim kurmak için aktif olarak devreye aldı. Ayrıca Microsoft Graph API üzerinden e-posta iletişimi de saldırı zincirinin bir parçası olarak kullanıldı.
ESET Research tarafından elde edilen bu bulgular, 2026 yılında düzenlenen Botconf konferansında kamuoyuyla paylaşıldı. Araştırma, siber casusluk faaliyetlerinde meşru platformların kullanımının giderek arttığını ve bu durumun güvenlik açısından yeni riskler doğurduğunu ortaya koydu.
Bakmadan Geçme
