Un groupe de menace persistante avancée (APT) lié à la Chine, connu sous le nom de GopherWhisper, a compromis 12 systèmes gouvernementaux en Mongolie. Selon la société de cybersécurité ESET, les attaquants ont infecté les systèmes avec des portes dérobées écrites dans le langage de programmation Go, en utilisant un arsenal d'injecteurs et de chargeurs pour maintenir l'accès.
Arsenal technique : injecteurs et chargeurs en Go 🛠️
La boîte à outils de GopherWhisper repose sur Go, un langage compilé qui facilite la création de binaires multiplateformes et rend l'analyse statique difficile. Les injecteurs insèrent du code malveillant dans des processus légitimes, tandis que les chargeurs téléchargent et exécutent des portes dérobées supplémentaires. Cette combinaison permet aux attaquants d'éviter les détections initiales et de maintenir une persistance dans les systèmes compromis sans éveiller de soupçons immédiats.
Des gophers affamés de données gouvernementales 🐹
Il semble que les gophers (marmottes) de Mongolie ne se contentent plus de creuser des tunnels, mais qu'ils percent désormais aussi les pare-feux. GopherWhisper démontre que si vous voulez espionner des gouvernements, mieux vaut le faire avec un langage moderne et efficace. Oubliez les vieux scripts en Perl ; désormais, l'espionnage d'État se fait avec Go, qui au moins compile rapidement pendant que vous volez des documents classifiés.