Un gruppo di minaccia persistente avanzata (APT) legato alla Cina, noto come GopherWhisper, ha compromesso 12 sistemi governativi in Mongolia. Secondo la società di cybersecurity ESET, gli aggressori hanno infettato i sistemi con backdoor scritte nel linguaggio di programmazione Go, utilizzando un arsenale di iniettori e loader per mantenere l'accesso.
Arsenale tecnico: iniettori e loader in Go 🛠️
Il set di strumenti di GopherWhisper si basa su Go, un linguaggio compilato che facilita la creazione di binari multipiattaforma e rende difficile l'analisi statica. Gli iniettori inseriscono codice malevolo in processi legittimi, mentre i loader scaricano ed eseguono backdoor aggiuntive. Questa combinazione consente agli aggressori di eludere i rilevamenti iniziali e mantenere la persistenza nei sistemi compromessi senza destare sospetti immediati.
Gopher affamati di dati governativi 🐹
Sembra che i gopher (marmotte) della Mongolia non scavino solo tunnel, ma ora perforino anche i firewall. GopherWhisper dimostra che se vuoi spiare i governi, è meglio farlo con un linguaggio moderno ed efficiente. Dimentica i vecchi script in Perl; ora lo spionaggio di stato si fa con Go, che almeno compila veloce mentre rubi documenti classificati.