概要
ESETの研究者は、これまで未確認だった中国系APTグループ「GopherWhisper」を新たに発見した。このグループはモンゴルの政府機関において少なくとも12のシステムへの感染が確認されており、活動の痕跡は2023年11月にまで遡る。最初の発見は2025年1月、独自のバックドア「LaxGopher」の検出がきっかけだった。GopherWhisperの最大の特徴は、SlackやDiscord、Microsoft 365 Outlookといった正規のビジネスコミュニケーションプラットフォームをC2(コマンド&コントロール)チャネルとして悪用する点にあり、従来のセキュリティ検知機構を巧みにすり抜ける手法が注目されている。
マルウェアの構成と技術的詳細
GopherWhisperは複数のGoベースのツールとバックドアを組み合わせた多層的な攻撃インフラを展開している。主要コンポーネントは以下の通りだ。
- LaxGopher: SlackをC2通信に利用するGolangバックドア。
cmd.exe経由でコマンドを実行し、追加マルウェアのダウンロードも行う。 - JabGopher: LaxGopherを「whisper.dll」として展開するインジェクター。
- CompactGopher:
.doc・.docx・.xls・.xlsx・.pdf・.ppt・.pptx・.txt・.jpgなどを拡張子でフィルタリングして収集し、AES-CFB-128暗号化でZIPに圧縮するファイル収集ツール。 - RatGopher: DiscordをC2として使用するバックドア。ファイル操作にはfile.ioを利用する。
- BoxOfFriends: Microsoft Graph APIを介してOutlookの下書きメールをC2チャネルとして活用するGolangバックドア。
- FriendDelivery: BoxOfFriendsのローダー/インジェクターDLL。
- SSLORDoor: ポート443で生ソケット通信を行うC++バックドア。
正規サービスをC2として悪用する手法は、企業や組織のネットワーク監視において正当なビジネストラフィックに紛れ込むため、検出が著しく困難になる。
帰属分析と影響範囲
ESETの研究者は、GopherWhisperの活動時間帯の分析から中国と関連するグループ(China-aligned)であると評価している。C2への通信が中国標準時(CST)の午前8時から午後5時のビジネスアワーに集中していること、またSlackのメタデータにおけるタイムゾーン設定が中国を示していることが根拠となっている。
感染が確認されたモンゴル政府機関のシステムは12台だが、C2トラフィックの分析から、さらに数十の被害者が異なるネットワーク・組織にわたって存在することが示唆されている。モンゴルは中国・ロシアの間に位置する内陸国であり、中央アジアにおける地政学的な情報収集の標的として関心を持たれやすい立場にある。正規サービスを通じたステルスなデータ窃取と永続的なアクセス維持が、このキャンペーンの主な目的と見られる。
まとめと示唆
GopherWhisperの事例は、国家支援型の高度な脅威アクターが正規クラウドサービスをC2インフラとして積極的に取り込んでいるトレンドを改めて浮き彫りにした。Slack・Discord・Outlookのような日常的に使用されるツールを検知の盲点として利用する手口は、従来のIPブロックやシグネチャベースの検出では対処が難しい。組織はコミュニケーションプラットフォームへの異常な通信パターンの監視や、エンドポイントでの振る舞い検知の強化を検討する必要がある。