{"id":319,"date":"2026-04-24T09:54:16","date_gmt":"2026-04-24T09:54:16","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/04\/24\/una-madriguera-llena-de-malware\/"},"modified":"2026-04-24T09:54:16","modified_gmt":"2026-04-24T09:54:16","slug":"una-madriguera-llena-de-malware","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/04\/24\/una-madriguera-llena-de-malware\/","title":{"rendered":"Una madriguera llena de malware"},"content":{"rendered":"<div>\n<p class=\"sub-title\">ESET Research ha descubierto un nuevo grupo APT alineado con China al que llamamos GopherWhisper, que apunta a instituciones gubernamentales de Mongolia.<\/p>\n<div class=\"article-authors d-flex flex-wrap\">\n<div class=\"article-author d-flex\"><picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2024\/11-2024\/eset-research.png\" media=\"(max-width: 768px)\"\/><img decoding=\"async\" class=\"author-image me-3\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2024\/11-2024\/eset-research.png\" alt=\"Eric Howard\"\/><\/picture><\/div>\n<\/div>\n<p class=\"article-info mb-5\">\n        <span>23 de abril de 2026<\/span><br \/>\n        <span class=\"d-none d-lg-inline\"> \u2022 <\/span><br \/>\n        <span class=\"d-inline d-lg-none\">, <\/span><br \/>\n        <span>6 min. leer<\/span>\n    <\/p>\n<div class=\"hero-image-container\">\n        <picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x266\/wls\/2026\/04-26\/gopherwhisper-malware-eset-research.jpg\" media=\"(max-width: 768px)\"\/><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x425\/wls\/2026\/04-26\/gopherwhisper-malware-eset-research.jpg\" media=\"(max-width: 1120px)\"\/><img decoding=\"async\" class=\"hero-image\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x700\/wls\/2026\/04-26\/gopherwhisper-malware-eset-research.jpg\" alt=\"GopherWhisper: Una madriguera llena de malware\"\/><\/picture>    <\/div>\n<\/div>\n<div>\n<p>Los investigadores de ESET han descubierto un grupo APT alineado con China previamente indocumentado al que llamamos GopherWhisper. El grupo maneja una amplia gama de herramientas escritas principalmente en Go, utilizando inyectores y cargadores para implementar y ejecutar varias puertas traseras en su arsenal. En la campa\u00f1a observada, los actores de amenazas apuntaron a una entidad gubernamental en Mongolia.<\/p>\n<p>GopherWhisper abusa de servicios leg\u00edtimos, en particular Discord, Slack, Microsoft 365 Outlook y file.io para la comunicaci\u00f3n y la exfiltraci\u00f3n de comando y control (C&#038;C). Fundamentalmente, despu\u00e9s de identificar m\u00faltiples tokens API de Slack y Discord, logramos extraer una gran cantidad de mensajes C&#038;C de esos servicios, lo que nos brind\u00f3 una gran visi\u00f3n de las actividades del grupo.<\/p>\n<p>Esta publicaci\u00f3n de blog resume los hallazgos de nuestra investigaci\u00f3n sobre el conjunto de herramientas y el tr\u00e1fico de C&#038;C de GopherWhisper, que se pueden encontrar en <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/white-papers\/gopherwhisper-burrow-full-malware.pdf\" target=\"_blank\" rel=\"noopener\">nuestro libro blanco<\/a> sobre el tema.<\/p>\n<blockquote>\n<p><strong>Puntos clave de la publicaci\u00f3n del blog:<\/strong><\/p>\n<ul>\n<li>ESET Research descubri\u00f3 un nuevo grupo APT alineado con China al que llamamos GopherWhisper que apuntaba a una entidad gubernamental en Mongolia.<\/li>\n<li>El conjunto de herramientas del grupo incluye puertas traseras personalizadas basadas en Go LaxGopher, RatGopher y BoxOfFriends, el inyector JabGopher, la herramienta de exfiltraci\u00f3n CompactGopher, el cargador FriendDelivery y la puerta trasera C++ SSLORDoor.<\/li>\n<li>GopherWhisper aprovecha Discord, Slack, Microsoft 365 Outlook y file.io para comunicaciones C&#038;C y exfiltraci\u00f3n.<\/li>\n<li>Analizamos el tr\u00e1fico de C&#038;C de los canales Slack y Discord del atacante, obteniendo informaci\u00f3n sobre las operaciones internas del grupo y las actividades posteriores al compromiso.<\/li>\n<\/ul>\n<\/blockquote>\n<h2>Puertas traseras en abundancia<\/h2>\n<p>Descubrimos el grupo en enero de 2025, cuando encontramos una puerta trasera no documentada anteriormente, a la que llamamos LaxGopher, en el sistema de una entidad gubernamental en Mongolia. Al profundizar m\u00e1s, logramos descubrir varias herramientas maliciosas m\u00e1s, principalmente varias puertas traseras, todas implementadas por el mismo grupo. La mayor\u00eda de estas herramientas, incluido LaxGopher, est\u00e1n escritas en Go.<\/p>\n<p>Dado que el conjunto de malware que encontramos no tiene similitudes de c\u00f3digo que lo vinculen con ning\u00fan actor de amenaza conocido, y no hubo superposici\u00f3n de t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) con ning\u00fan otro grupo, decidimos atribuir las herramientas a un nuevo grupo. Elegimos llamarlo GopherWhisper debido a que la mayor\u00eda de las herramientas del grupo est\u00e1n escritas en el lenguaje de programaci\u00f3n Go, que tiene una tuza como mascota, y seg\u00fan el nombre del archivo. <span style=\"font-family: courier new, courier, monospace;\">susurro.dll<\/span>un componente malicioso que se carga lateralmente.<\/p>\n<p>El malware que descubrimos inicialmente consiste en lo siguiente:<\/p>\n<ul>\n<li><strong>JabGopher:<\/strong> un inyector que ejecuta la puerta trasera LaxGopher disfrazada de <span style=\"font-family: courier new, courier, monospace;\">susurro.dll<\/span>. Crea una nueva instancia de <span style=\"font-family: courier new, courier, monospace;\">svchost.exe<\/span> e inyecta LaxGopher en el <span style=\"font-family: courier new, courier, monospace;\">svchost.exe<\/span> memoria de proceso.<\/li>\n<li><strong>LaxGopher:<\/strong> una puerta trasera basada en Go que interact\u00faa con un servidor privado de Slack para recuperar mensajes de C&#038;C. Ejecuta comandos a trav\u00e9s de <span style=\"font-family: courier new, courier, monospace;\">cmd.exe<\/span> y publica los resultados en el canal de Slack configurado en el c\u00f3digo. LaxGopher tambi\u00e9n puede descargar m\u00e1s malware a la m\u00e1quina comprometida.<\/li>\n<li><strong>Gopher compacto:<\/strong> una herramienta de recopilaci\u00f3n de archivos basada en Go implementada por los operadores para comprimir r\u00e1pidamente archivos desde la l\u00ednea de comando y exfiltrarlos autom\u00e1ticamente al <a href=\"https:\/\/www.file.io\/\">archivo.io<\/a> Servicio para compartir archivos. Es una de las cargas \u00fatiles implementadas por LaxGopher.<\/li>\n<li><strong>RataGopher:<\/strong> una puerta trasera basada en Go que interact\u00faa con un servidor privado de Discord para recuperar mensajes de C&#038;C. Tras la ejecuci\u00f3n exitosa de un comando, los resultados se publican en el canal de Discord configurado.<\/li>\n<li><strong>SSLORPuerta:<\/strong> una puerta trasera construida en C++ que utiliza <a href=\"https:\/\/docs.openssl.org\/3.1\/man7\/bio\/\">Biograf\u00eda de OpenSSL<\/a> para comunicaci\u00f3n a trav\u00e9s de sockets sin formato en el puerto 443. Puede enumerar unidades y ejecutar comandos basados \u200b\u200ben la entrada de C&#038;C, principalmente relacionados con abrir, leer, escribir, eliminar y cargar archivos.<\/li>\n<\/ul>\n<p>Seg\u00fan el conocimiento que obtuvimos durante nuestro an\u00e1lisis, pudimos encontrar dos herramientas GopherWhisper adicionales, que nuevamente se implementaron contra la misma entidad gubernamental de Mongolia:<\/p>\n<ul>\n<li><strong>AmigoEntrega<\/strong>: un archivo DLL malicioso que act\u00faa como cargador e inyector que ejecuta la puerta trasera BoxOfFriends.<\/li>\n<li><strong>cajadeamigos<\/strong>: una puerta trasera basada en Go que utiliza la API REST de correo de Microsoft 365 Outlook de Microsoft Graph para crear y modificar borradores de mensajes de correo electr\u00f3nico para sus comunicaciones de C&#038;C.<\/li>\n<\/ul>\n<p>En la Figura 1 se proporciona una descripci\u00f3n esquem\u00e1tica del arsenal de GopherWhisper.<\/p>\n<figure class=\"image\"><img decoding=\"async\" title=\"Figura 1. Descripci\u00f3n general del conjunto de herramientas GopherWhisper\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2026\/04-26\/gopherwhisper\/figure-1.png\" alt=\"Figura 1. Descripci\u00f3n general del conjunto de herramientas GopherWhisper\" width=\"\" height=\"\"\/><figcaption><em>Figura 1. Descripci\u00f3n general del conjunto de herramientas GopherWhisper<\/em><\/figcaption><\/figure>\n<h2>Mensajes reveladores<\/h2>\n<p>Como se mencion\u00f3 en la introducci\u00f3n, GopherWhisper se caracteriza por el uso extensivo de servicios leg\u00edtimos como Slack, Discord y Outlook para la comunicaci\u00f3n C&#038;C. Durante nuestra investigaci\u00f3n, logramos extraer miles de mensajes de Slack y Discord, as\u00ed como varios borradores de mensajes de correo electr\u00f3nico de Microsoft Outlook. Esto nos dio una gran visi\u00f3n del funcionamiento interno del grupo.<\/p>\n<p>La inspecci\u00f3n de la marca de tiempo de los mensajes de Slack y Discord nos mostr\u00f3 que la mayor\u00eda de ellos se enviaron durante el horario laboral, es decir, entre las 8 am y las 5 pm, en UTC+8 (ver Figura 2 y Figura 3), que se alinea con la hora est\u00e1ndar de China. Adem\u00e1s, la configuraci\u00f3n regional para el usuario configurado en los metadatos de Slack tambi\u00e9n se configur\u00f3 en esta zona horaria. Por lo tanto, creemos que GopherWhisper es un grupo alineado con China.<\/p>\n<figure class=\"image\"><img decoding=\"async\" title=\"Figura 2. Mensajes flojos cada hora\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2026\/04-26\/gopherwhisper\/figure-2.png\" alt=\"Figura 2. Mensajes flojos cada hora\" width=\"\" height=\"\"\/><figcaption><em>Figura 2. Mensajes flojos cada hora<\/em><\/figcaption><\/figure>\n<figure class=\"image\"><img decoding=\"async\" title=\"Figura 3. N\u00famero de mensajes de Discord cada hora\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2026\/04-26\/gopherwhisper\/figure-3.png\" alt=\"Figura 3. N\u00famero de mensajes de Discord cada hora\" width=\"\" height=\"\"\/><figcaption><em>Figura 3. N\u00famero de mensajes de Discord cada hora<\/em><\/figcaption><\/figure>\n<p>Seg\u00fan nuestra investigaci\u00f3n, los servidores Slack y Discord del grupo se usaron primero para probar la funcionalidad de las puertas traseras y luego, sin borrar los registros, tambi\u00e9n se usaron como servidores C&#038;C para las puertas traseras LaxGopher y RatGopher en m\u00faltiples m\u00e1quinas comprometidas.<\/p>\n<h3><a name=\"_Toc225247976\"\/>Canal Slack de LaxGopher<\/h3>\n<p>Los mensajes que recopilamos revelaron que las comunicaciones de LaxGopher C&#038;C se utilizaban principalmente para enviar comandos para la enumeraci\u00f3n de discos y archivos.<\/p>\n<p>Adem\u00e1s, entre los mensajes de Slack se descubrieron varios enlaces interesantes a repositorios de GitHub con c\u00f3digo malicioso, como se enumera en la Tabla 1. Seg\u00fan el c\u00f3digo fuente de cada repositorio, asumimos que estos repositorios podr\u00edan haber sido utilizados como recurso de aprendizaje y referencia durante el desarrollo.<\/p>\n<p style=\"text-align: center;\"><em>Tabla 1. Repositorios de GitHub encontrados en cargas de prueba de operadores<\/em><\/p>\n<h3>Canal de Discord de RatGopher<\/h3>\n<p>Adem\u00e1s de la comunicaci\u00f3n C&#038;C, el canal Discord de RatGopher tambi\u00e9n conten\u00eda el c\u00f3digo fuente de Go que puede haber sido una de las primeras versiones de la puerta trasera.<\/p>\n<p>Adem\u00e1s, pudimos obtener detalles sobre las m\u00e1quinas operadoras, ya que a menudo las usaban para ejecutar procesos de enumeraci\u00f3n con fines de prueba. Esto nos mostr\u00f3, entre otras cosas, que un operador utiliz\u00f3 una m\u00e1quina virtual basada en VMware y que la m\u00e1quina hab\u00eda sido iniciada e instalada en un horario que se alinea muy bien con la zona horaria UTC+8.<\/p>\n<h3>Comunicaci\u00f3n de Microsoft 365 Outlook<\/h3>\n<p>Adem\u00e1s de la comunicaci\u00f3n de Slack y Discord, tambi\u00e9n pudimos extraer mensajes de correo electr\u00f3nico utilizados para la comunicaci\u00f3n entre la puerta trasera de BoxOfFriends y su C&#038;C a trav\u00e9s de <a href=\"https:\/\/learn.microsoft.com\/en-us\/graph\/use-the-api\">API de gr\u00e1ficos de Microsoft<\/a>. All\u00ed notamos que el mensaje de correo electr\u00f3nico de bienvenida de Microsoft, de cuando se cre\u00f3 la cuenta, nunca hab\u00eda sido eliminado. Este mensaje confirm\u00f3 que la cuenta <span style=\"font-family: courier new, courier, monospace;\">barrantaya.1010@outlook[.]com<\/span> fue creado el 11 de julio<sup>th<\/sup>de 2024, solo 11 d\u00edas antes de la creaci\u00f3n de la DLL FriendDelivery (el cargador utilizado para ejecutar BoxOfFriends) el 22 de julio.<sup>Dakota del Norte<\/sup>2024.<\/p>\n<h2>Conclusi\u00f3n<\/h2>\n<p>Nuestra investigaci\u00f3n sobre GopherWhisper revel\u00f3 un grupo APT que utiliza un variado conjunto de herramientas de cargadores, inyectores y puertas traseras personalizados. Al analizar las comunicaciones de C&#038;C obtenidas de los canales Slack y Discord operados por el atacante, y de los borradores de mensajes de correo electr\u00f3nico de Outlook, pudimos obtener informaci\u00f3n adicional sobre el funcionamiento interno del grupo y las actividades posteriores al compromiso.<\/p>\n<p>Para un an\u00e1lisis detallado del conjunto de herramientas y el tr\u00e1fico C&#038;C obtenido, lea nuestro completo <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/white-papers\/gopherwhisper-burrow-full-malware.pdf\" target=\"_blank\" rel=\"noopener\">papel blanco<\/a>.<\/p>\n<p>Puede encontrar una lista completa de indicadores de compromiso (IoC) en el <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/white-papers\/gopherwhisper-burrow-full-malware.pdf\" target=\"_blank\" rel=\"noopener\">papel blanco<\/a> y en nuestro <a href=\"https:\/\/github.com\/eset\/malware-ioc\/tree\/master\/gopherwhisper\">repositorio de GitHub<\/a>.<\/p>\n<p><a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=gopherwhisper-burrow-full-malware&amp;sfdccampaignid=7011n0000017htTAAQ\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/eti-eset-threat-intelligence.png\" alt=\"\" width=\"915\" height=\"296\"\/><\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>ESET Research ha descubierto un nuevo grupo APT alineado con China al que llamamos GopherWhisper, que apunta a<\/p>\n","protected":false},"author":1,"featured_media":320,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-319","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=319"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/320"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}